SIT 4 
华为 职业 认证 通过 者 权 蔡 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hf1W;/Aeq9rning.huawei.com/cn) 享有 如 下 特权 : 
。 1、 华为 E-learning 课程 学 习 
0 ” 内容: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式: 辟 四 性 后 ， 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emoail” 和 到 Leg9/ming@huawei.com 所 
态 权 碟 。 
。 2、 华为 培训 教材 下 载 
0 ”内 容 : 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 小 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: 登录 估 为 在 绪 字 当 厂 芒 ， 进 入 “华为 好 WU 季 立 伞 训 ， 在 具体 课程 页 面 即 可 下 载 教 材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参与 
0 ” 内容: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
0 方式: 开 班 计 划 及 参与 方式 请 详 见 AKC 汞 和 区 
。 4、 学习 工 具 eNSP 
o EeNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ; 同时 也 文 持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 另外, 华为 建立 了 知识 分 孚 平台 华为 从 证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 对 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html) 
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目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
0 了 解 终端 安全 当前 的 主要 现状 ， 
0 了 解 终端 安全 的 产生 背景 ; 
po 了 解 终端 安全 解决 思路 -立体 防御 体系 。 
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本 章 是 终端 安全 概述 ， 核 心 和 识 后 : 终 并 安全 解决 思路 -立体 防御 体系 


目录 
. 企业 内 网 所 面临 的 终端 安全 风险 
， 传 统 终 痛 安全 解决 方案 所 面临 的 挑战 


， 终 痛 安 全 立体 防御 解决 之 道 
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ED 二 ; ; 邮件 服务 
络 带 来 的 安全 问 是 8.1 :六 人 
4 
i 或 者 合作 人 偷 穿 数 # 78 


DC 统计 报告 了 emss 





。 内 网 安全 主要 威胁 
0 存储 介质 滥用 与 失礼 
0 未 授权 访问 
o 重要 信息 资产 泄密 
0 病毒 及 恶意 代码 
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据 IDC 统 计 报告 计算 机 犯罪 与 安全 调查 显示 仔 储 介质 滥用 与 失窃 、 未 授权 访问 、 重 
要 信息 资产 泄密 、T 系 统 漏洞 、 病 毒 及 有 恶 蔓 代码 、 IM 即 时 通讯 软件 和 非 工 作 时 间 的 Web 访 
问 已 经 成 为 企业 面临 的 最 严重 的 安全 威胁 之 一 。 而 目前 企业 信息 安全 建设 现状 是 ， 企 业 在 
严防 死守 外 部 黑客 和 病毒 攻击 的 同时 ” 却 忽 略 了 内 部 威胁 。 从 2 大 组 织 显示 的 报告 得 知 ， 
有 大 量 的 企业 内 部 安全 威胁 正在 对 企业 重要 的 信息 资产 造成 严重 的 影响 。 


因此 ， 传 统 的 边界 防护 措施 在 越 来 越 多 的 内 网 安全 风险 面前 ， 呈 现 出 “形同虚设 ”人 态 
势 。 所 以 ， 企 业 IT 管 理 入 员 需 要 逐步 将 工作 中 心 同 内 网 安全 防护 转移 。 


内 网 安全 六 终端 安全 


企业 内 部 网 络 
文件 服务 器 邮件 服务 器 


407%| 60% 


) 
C Internet MW 


边界 wy Se= 
路 性 | 
防 居 省 【2 网 络 域 | 内 网 凡 火 墙 


> Arena 
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据 IDC 统 计 报 告 和 CSI/FBI 计算 机 犯罪 与 安全 调查 显示 ，60% 以 上 安全 事件 来 自 于 内 网 。 
那么 我 们 首先 要 湾 清 “什么 是 安全 域 划分 及 边界 整合 、“ 什 么 是 内 网 安全 ”、“ 什 么 是 
终端 安全 ”、 “内 网 安全 是 否 等 同 于 终端 安全 ”等 概念 。 

所 谓 安 全 域 划分 及 边界 整合 涉及 两 方面 ， 即 安全 域 划 分 和 边界 整合 ， 其 中 安全 域 划 分 
是 指 为 了 更 好 保障 内 网 安全 、 基 于 内 网 业务 类 型 和 安全 需 来 ， 把 内 网 划分 成 若干 个 颗粒 度 
合适 的 逻辑 区 域 。 而 边界 整合 是 指 为 了 降低 企业 内 网 与 外 部 网 络 或 Internet 互 联 可 能 市 来 
的 安全 风险 ， 对 企业 内 网 所 有 的 互联 接口 进行 整合 ， 实 现 统一 防护 、 统 一 监控 的 目的 。 安 
全 域 主要 由 用 户 域 汶 网 络 域 、 服 务 域 、 业 务 域 等 4 大 安全 区 域 组 成 。 其 中 用 尸 域 安全 一 般 
由 各 类 终端 用 户 组 成 ， 由 于 终端 所 具有 的 数量 大 、 分 布 广 、 流 动 强 等 特点 ， 导 致 其 是 4 大 
安全 区 域 中 最 重要 控制 的 区 域 ， 也 是 本 教材 讲解 的 重要 ， 即 终端 安全 。 网 络 域 安全 ， 是 业 
务 流量 承载 的 平台 ， 一 般 情 况 下 通过 采用 MPLS VPN 技 术 把 业务 根据 企业 的 要 求 进行 逻辑 
划分 ， 以 实现 网 络 承载 的 安全 。 服 务 域 安 全 ， 是 为 企业 内 网 提供 安全 服务 的 区 域 ， 此 区 域 
一 般 由 防 病毒 服务 器 、 补 丁 管理 服务 器 、 终 问安 全 服务 器 等 提供 安全 服务 的 系统 组 成 。 业 
务 域 安全 ， 即 企业 业务 服务 器 的 安全 ， 是 各 类 企业 最 关注 的 安全 防护 区 域 ， 其 承载 看 企业 
重要 的 、 核 心 的 信息 资产 。 

通过 对 “安全 域 划 分 及 边界 整合 ”概念 的 澄清 ， 我 们 就 好 地 对 内 网 安全 进行 定义 。 内 
网 安全 ， 是 指 通 过 综合 的 安全 解决 方案 ,你 障 用 户 域 、 网 络 域 、 服 务 域 和 业务 域 等 4 大 区 
域 的 安全 ， 终 端 安 全 ， 是 采用 立体 防御 理念 形成 体系 化 的 产品 、 解 决 方案 和 服务 。 

通过 对 “内 网 安全 ”和 “终端 安全 ”的 定义 ,我们 知道 终端 安 全 是 内 网 安全 的 一 部 分 ， 
且 因 终端 所 具有 的 特点 ， 致 使 其 为 内 网 最 难以 防护 的 安全 区 域 和 安全 隐患 的 源头 。 
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终 病 安全 风险 一 ， 因 终端 目 号 存在 的 系统 缺陷 再 加 上 终 并 的 操作 行为 ， 可 能 会 不 类 不 
党 感 染 上 病毒 。 比 如 通过 IE 浏 览 器 访问 网 站 ,“* 因 IE 可 能 存在 漏洞 ， 当 目标 网 站 挂 厦 病毒 时 ， 
可 能 病毒 就 通过 IE 漏 洞 对 所 在 终端 进行 感染 ， 进 而 扩散 传播 。 当 然 还 有 其 它 IM 工 具 软 件 、 
外 设 介质 均 可 能 充当 传播 病毒 的 载体 。 


非 


多 网 卡 


oes ad C <、 
/人 
二 Infernet 
lm 了 非法 Proxy 由 ER 


人 
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终端 安全 风险 二 ， 此 类 终端 行为 一 般 可 归 关 为 有 和 意 行为 ， 由 于 企业 信息 安全 管理 和 信 
息 安全 技术 限制 ， 部 分 终端 因 无 法 获取 Internet 访 问 资源 需求 ， 可 能 将 通过 私 设 访问 通道 
来 逃避 正 癌 的 安全 检查 。 这 样 除了 严重 违反 企业 信息 安全 管理 制度 外 ， 还 将 市 来 巨大 的 安 
全 风险 。 由 于 通过 私 设 访 问 通道 , 志 般 缺少 必要 的 安全 策略 机 制 ， 往 往 容易 给 外 部 不 法 分 
子 创造 入 侵 企 业内 部 网 络 的 后 闪 。 
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终端 安全 风险 三 ， 文 档 类 的 信息 资产 一 般 是 企业 重要 资产 之 一 ， 皆 的 泄密 将 对 企业 日 
党 运营 产生 重大 影响 。 而 传统 控制 方式 一 般 不 做 控制 或 通过 封 培 存 储 介质 或 外 设 接口 来 解 


决 ， 这 除了 可 能 影响 终端 日 党 工作 效率 外 ， 最 主要 是 不 能 从 根本 上 堵截 文档 的 外 泄 。 比 如 
通过 E-malil 等 方式 把 文档 外 发 。 


自从 Internet 快 速 发 展 的 近 征 年 ， 内 部 网 络 发 现 的 安全 事件 或 案例 不 仅仅 以 上 列 出 的 
三 个 场景 ， 以 上 场景 只 是 抛砖引玉 来 说 明 一 个 观点 ， 终 端的 安全 风险 已 越 来 越 多 样 化 ， 只 
有 提供 整体 的 解决 方案 体系 平台 才 是 根本 。 


面临 各 种 风险 
Ee 层 现 不 穷 


o 非 授 权 访 问 gz o 机 器 变 慢 全 全 全 
。 有 意 泄密 一 6 困 国正 | 。 网 络 或 软件 异常 号 


网 
o 无 意 泄密 全 o ”频繁 宕 机 大 


bo 干 松 沽 Sr 


行为 规范 
es 网 络 威胁 
难以 执行 


o 网络 亦 慢 寺 < 


i o 业务 中 断 头 ( 
o ”滥用 网 z 和 本 规模 庞大 .4 a : 
(3 BitTorren 上 这 难以 监管 口 服务 异常 银 ¢ 


S 
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。 企业 虽然 部 署 了 杀毒 软件 和 安全 设备 ， 但 是 依然 存在 如 下 问题 。 

泄密 事件 屡禁不止 

o 非 授 权 访 问 : 外 来 电脑 、 器 部 门 接 入 电脑 、 跨 权限 访问 

o ”有意 汇 密 : 外 设 拷贝 、 于 天 、 文 件 传输 、 资 产 外 出 

o 无意 泄密 : 病毒 木马 蠕虫 、 恶 意 网 站 、 资 产 丢 失 

0 终端 异 音 层 现 不 穷 : 

病毒 、 蚂 虫 、 木 马 、 流 误 软 件 导致 机 器 过 慢 ; 

a 恶意 代码 或 入 侵 事 件 导致 网 络 或 软件 异常 ， 使 得 上 T 人 员 沦 为 疫 于 奔 命 的 “救火 队 
员 

0 系统 破坏 、 软 件 冲突 导致 频繁 宕 机 ， 使 得 上 T 部 门 形象 受 损 

o 网 络 威胁 防不胜防 : 


0 病毒、 蠕虫、 产 目 终端 的 恶意 攻击 〈 入 网 络 筋 刀 手 、 网 络 执法 官 等 、ARP 攻 击 ) 
、 网 络 资产 滥用 导致 网 络 变 慢 甚至 业务 终端 或 应 用 系统 异 间 


名 目录 


:企业 内 网 所 面临 的 终 病 安全 风险 
. 传统 终端 安全 解决 方案 所 面临 的 挑战 


， 终 端 安全 立体 防御 解决 方案 
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本 广 主 要 介绍 传统 终 闹 安全 解决 方案 的 局 限 性 。 


为 什么 防 病毒 软件 个 能 发 挥 应 有 作用 ? 


‘9 .0 
S 名 


QW 23 
F 
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防 病毒 软件 发 挥 应 有 作用 的 前 提 ， 各 终端 除 耶 需 保持 软件 运行 外 ， 防 病毒 软件 版 本 、 
5| 敬 及 病毒 库 均 需 保持 最 新 。 但 由 于 单一 的 防 病毒 软件 的 局 限 性 ， 使 其 很 难保 证 网 内 所 有 
终 并 防 病毒 软件 信息 的 统一 。 比 如 防 病毒 软件 随意 籽 载 、 安 沪 非 企业 统一 品牌 防 病毒 软件 、 
病毒 库 未 及 时 更 新 升级 等 等 ， 这 些 现象 在 当前 的 企业 内 部 网 络 特别 普遍 ， 致 使 传统 的 防 病 
毒 软件 不 能 发 挥 应 有 的 作用 。 以 下 章节 ， 将 痢 述 如 何 把 立体 防御 终端 安全 解决 方案 与 防 病 
毒 软件 进行 整合 ， 以 还 原 防 病毒 软件 应 有 的 本 色 。 


为 什么 补丁 管理 不 能 发 挥 应 有 作用 ? 


网 官 补丁 管理 软件 


部 


C 


和 
这 Ye 
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D 
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相对 于 防 病毒 软件 ， 补 丁 管理 实现 机 制 比 较 简单 。 一 般 情 况 下 ， 补 丁 管理 代理 端 软件 
都 是 般 入 终 并 系 统 内 ， 只 需 保证 补丁 的 及 时 下 发 、 安 六 束 行 。 但 由 于 补丁 实现 机 制 原因 ， 
都 会 有 部 分 重要 补丁 因 各 种 原因 而 未 能 及 时 下 发 ， 从 而 引起 终端 弱点 的 产生 。 这 些 现象 与 
防 病毒 软件 一 样 ， 都 使 补丁 管理 不 能 发 挥 应 有 的 作用 。 以 下 对 三， 将 阐述 如 何 把 立体 防御 
终端 安全 解决 方案 与 补丁 管理 进行 整合 ， 以 还 原 补 丁 管理 应 有 的 本 色 。 


为 什么 文档 总 是 泄密 ? 


力 什 么 文档 
总 是 泄密 ? 


网 站 论坛 
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传统 解决 文档 泄密 技术 往往 考虑 如 何 阻 止 交 档 问 外 传输 接口 ， 但 由 于 接口 类 型 与 数量 
多 ， 且 承载 在 IP 协 议 之 上 的 传输 协议 技术 不 好 控制 ， 致 使 此 类 解决 万 案 均 存在 这 样 那样 缺 
陷 ， 最 终 导 致 文档 频繁 泄密 ， 而 且 针 对 文档 的 合法 用 尸 如 何 有 效 地 进行 权限 控制 及 访问 ， 
此 类 措施 均 存 在 这 样 那样 的 问题 。 因 此 从 产 头 解决 文档 的 安全 、 合 法 、 合 理 使 用 是 当前 解 
决 方案 的 首 推 之 选 。 以 下 章 厂 汶 将 痢 述 如 何 对 文档 进行 多 层次 防护 和 源头 防护 ， 来 解决 文 
档 所 存在 的 泄密 问题 。 


终 病 安 全 解决 方案 发 展 之 路 
-= 
防 绩 毒 软件 二 20 世 纪 80 年 代 未 


补丁 管理 
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以 下 我 们 来 简要 阐述 一 下 ， 终 端 安全 解决 页 和 案 发 展 之 路 。 终 端 安全 解决 方案 诞生 最 早 
可 奶 溯 至 20 世 纪 80 年 代 真正 意义 的 病毒 产生 ，* 当时 1 界 联网 还 未 形成 ， 基 本 上 处 于 天 号 阶 
段 。 风 险 来 源 主要 还 是 病毒 ， 且 承载 介质 也 是 以 外 设 为 主 ， 所 以 当时 解决 方案 主要 还 是 以 
单一 的 防 病 毒 软件 。 伴 随 看 互联 网 的 产生 ， 越 来 越 多 的 终端 通过 Internet 联 接 在 一 起 ， 这 
样 在 市 来 方便 性 的 同时 ， 许 多 安全 把 胁 也 跟随 而 来 。 这 时 终 冰 用 户 除了 安 疹 防 病毒 软件 ， 
还 不 定期 地 对 终端 系统 进行 补丁 修复 。 进 入 了 21 世 纪 ， 企 业 信息 化 对 企业 的 经 莒 越 来 越 重 
要 ， 随 后 各 类 企业 逐步 建立 了 各 目的 企业 内 网 ， 但 安全 问题 却 越 来 越 多 ， 如 何 解决 这 些 终 
端 问题 是 各 企业 [1 经理 人 所 关心 的 难题 ， 这 时 有 部 分 软件 厂商 或 防 病毒 厂商 介入 终端 安全 
领域 ， 经 过 近 木 年 的 发 展 ， 大 家 感觉 单 纯 的 软件 终端 安全 解决 方案 难以 从 根本 上 解决 企业 
所 面临 的 终 闹 安全 问题 ， 急 需 提供 一 套 主动 的 、 动 态 的 、 纵 深 的 解决 方案 才 是 解决 之 道 。 


立体 防御 终端 安全 解决 方案 束 浮 出 历史 舞台， 它 整 合 了 原 有 的 系统 层面 终端 安全 技术 ， 
又 延伸 新 的 网 络 层面 技术 ， 从 而 全 面 地 解决 终端 所 面临 的 各 类 安全 问题 。 


多 目录 


1， 企业 内 网 所 面临 的 终 问 安全 风险 
2， 传统 终 病 安全 解决 万 采 所 面临 的 挑战 
3. 终端 安全 立体 防御 解决 之 道 
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本 万 主 要 介绍 终端 安全 系统 多 层次 、 全 方位 防御 原理 。 





9DIVYS 书 潜 
汶 章 XI Z08 
9DVS 赴 出 


沾 


N 
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立体 防御 体系 ， 主 要 体现 一 体 化 、 多 层次 、( 金 方位 3 方面 ， 一 体 化 说 明 终 端 安全 组 件 是 
有 机 组 合 ， 形 成 统一 的 整体 ; 多 层次 说 明 安 全 防御 是 纵深 防御 ， 实 现 终 端 安全 的 层 层 防 
护 ， 此 处 不 仅 体现 在 网 络 层面 ， 也 体现 在 系统 层面 ; 全 方位 说 明 安 全 是 由 组 织 做 基础 、 
流程 做 保障 、 拉 术 做 支撑 ， 也 丈 是 以 组 织 做 基础 ， 安 全 管理 + 安全 扩 术 〈 安 全 管理 与 安 
全 反 术 2 者 之 间 相 互相 承 ) 入 通过 构建 企业 终 亲 安全 立 休 防御 体系 ， 保 障 企业 终 亲 实现 
可 管理 、 可 控制 、 可 奶 漳 。 


V 


外 部 非法 用 各 一 般 信息 盗 源 


阻止 非 授 融 离 修复 授权 用 户 监控 行为 
权 用 户 不 合 规 用 户 访问 范围 审计 取证 
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现在 我 们 来 看 一 下 终端 安全 管理 解决 方案 的 设计 思路 。 以 企业 安全 策略 为 核心 ， 用 户 
在 接 入 企业 标准 网 络 之 前 ， 第 一 步 接受 身份 验证 ， 认 证 通过 后 进行 第 二 步 强制 合 规 性 检 簿 
(包括 安全 状态 和 系统 配置 检查 ) ， 服 务 器 依据 检查 结果 作出 仲裁 ， 符 合 企 业 安全 策略 即 
可 授权 访问 相应 的 网 络 资产 ; 安全 检查 不 合 规 的 终端 只 能 访问 修复 资源 ， 完 成 必要 的 修复 
后 才能 接 入 网 络 。 代 理 对 所 有 接 入 网 络 的 终端 进行 持续 的 行为 监控 ， 及 时 对 违规 行为 作出 
啊 应 ， 并 进行 记录 。 整 个 流程 形成 了 内 网 安全 保护 的 PDCA 持 续 改进 过 程 。 
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多 层次 防御 体系 ， 主 要 体现 网 络 层面 和 系统 层面 。 网 络 层面 主要 通过 软件 SACG、 
802.1x 交 换 机 、 硬 件 S3ACG 等 3 个 层面 相互 配合 ， 在 网 络 上 对 终端 的 接 入 和 业务 资产 访问 
进行 控制 。 而 系统 层面 涉及 领域 比较 粤 ， 此 如 对 文档 资产 的 访问 ， 可 通过 封 外 设 背 口 、 控 
制 存储 介质 、 加 密 文 档 等 措施 相 结 合 * 对 文档 的 获取 进行 综合 控制 ， 其 它 象 非法 外 联 、 病 
毒 防范 等 也 是 类 似 通过 综合 的 控制 措施 来 解决 单一 措施 可 能 存在 的 安全 风险 。 这 样 ， 通 过 
层 层 防御 最 终 从 根源 上 降低 企业 终端 可 能 带 来 的 各 类 安全 风险 。 


全 全 方位 防御 体系 


。PPT-PDCA 模 型 


o 以 组 织 为 基础 ， 流 程 为 保 
障 ， 技 术 为 手段 ， 构 建 终 
端 安全 全 方位 防御 体系 
通过 PDCA 模型 ， 实 现 主动 
的 、 动 态 的 、 纵 深 的 防御 
体系 ， 达 到 持续 改进 的 防 
御 理 念 

k 





令 
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组 织 ， 这 里 是 指 上 安全 业务 管理 组 织 和 企业 业务 部 门 组 织 ; 流程 ， 是 指 信息 


制度 ， 及 相关 法 


法 规 ; 技术 ， 这 里 主要 指 终端 安全 技术 。 


个 人 防火 墙 补丁 管理 软件 
> ee 


昌 A 厂 C 
“EB 


准 入 控制 + 桌面 管理 + 安全 管理 
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什么 是 终端 安全 ? 提 到 终端 安全 我 们 很 容易 联想 到 传统 的 防 病毒 软件 、 个 人 防火 墙 及 补丁 
管理 。 从 狭义 上 讲 ， 以 上 可 以 是 终端 安全 但 我 们 也 看 到 ， 以 上 终 新 安全 是 孤立 的 ， 也 就 是 说 
从 广义 上 来 讲 ， 以 上 部 分 只 能 算 终端 安全 组 成 部 分 。 那 么 什么 是 终端 安全 ”终端 安全 要 解决 哪 
些 问题 ? 为 什么 以 上 传统 终端 安全 产品 难以 从 根本 上 解决 安全 所 面临 的 问题 ? 


防 病毒 软件 在 20 世 纪 80 年 代 随 看 病毒 产生 而 产生 ， 经 过 近 几 十 年 的 发 展 ， 已 从 当时 的 个 人 
版 发 展 当 醒 的 网 络 版 、 网 关 版 % 但 企业 部 署 完 防 病毒 软件 后 ， 发 现 病 毒 感 染 还 是 大 面积 发 生 ， 
虽然 有 产品 目 身 技术 局 限 性 外 ， 其 中 各 终端 未 按 网 络 管理 人 员 要 求 进行 引擎 升级 、 病 毒 库 升 级 
语 大 多 数 ， 更 有 上 其 者 未 些 终端 长 时 间 都 未 安 次 防 病毒 软件 。 而 个 人 防火 墙 、 补 丁 管理 软件 在 企 
业 部 署 过 程 中 ,\ 也 存在 与 防 病毒 软件 类 似 的 挑战 。 


基于 以 止 传 统 终 端 安全 所 面临 的 局 限 性 ，21 世 纪 初 期 ， 逐 步 有 IT 厂 商 开发 出 软件 类 终端 安 
全 来 解决 所 面临 挑战 ， 但 在 实施 交付 中 ， 广 商 和 企业 越 来 越 感到 单纯 的 软件 类 终端 安全 很 难 从 
体系 染 构 层面 来 整体 解决 终端 所 面临 的 安全 问题 。 这 就 促使 一 批 具 有 综合 技术 能 力 的 IT 厂 商 介 
入 终端 安全 领域 ， 华 为 公司 借助 自身 安全 实践 、 网 络 技术 开发 、 安 全 软件 开发 等 能 力 ， 提 出 了 
终端 安全 立体 防御 解决 。 所 谓 立 体 防 御 ， 是 指 基 于 终端 所 面临 的 问题 ， 对 相 天 产品 及 组 件 进行 
整合 ， 形 成 统一 的 、 整 体 的 纵深 防御 方案 ， 以 解决 单一 防护 可 能 市 来 的 局 限 性 。 


终端 安全 ， 是 采用 立体 防御 理念 形成 体系 化 产品 与 解决 方案 。 它 体现 了 立体 染 构 和 主动 防 
御 思 想 ， 并 通过 PDCA 来 持续 提升 企业 终端 的 安全 能 力 。 终 问安 全 立体 防御 体系 ， 即 通过 准 入 
控制 来 识别 终端 用 尸 喘 份 ， 以 决定 是 否 人 允许 其 接 入 ;， 呆 面 管理 是 通过 制定 相应 安全 策略 来 保障 
终端 果 面 的 安全 ; 安全 管理 是 通过 制定 适合 企业 业务 运营 要 求 的 安全 管理 ， 来 确保 所 制定 的 安 
全 策略 有 法 可 依 。 


20 


? 终端 安全 有 哪些 主要 特点 
网 安全 有 何 区 别 ? 
网 安全 的 位 置 和 地 位 ? 
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思考 题 

。 终 端 主 要 存在 哪些 安全 威胁 ? 

。 传 统 终 端 安 全 解决 方案 存在 哪些 局 限 性 ? 
。 如 何 构 建 终端 安全 立体 防御 体系 ? 
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口 


@ 练 习题 


。 判断 题 


1， 终 端 安全 不 等 同 于 内 网 安全 ， 因 为 内 网 安全 包括 : 


、 业 务 安全 等 。 
。 多 选 题 
1， 内 网 安全 包括 哪 4 个 区 域 的 安全 ? 
A. 用 户 域 安全 
网 络 域 安 全 
C. 服 务 域 安全 
D. 业 务 域 安 全 
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判断 题 : 终端 安全 不 等 同 于 内 网 安全 ， 因 为 内 网 安全 包括 : 终端 


SY 


多 选 题 : 内 网 安全 包括 哪 4 个 区 域 的 安全 ? 
人 .用 尸 域 安全 

BB. 网络 域 安 全 

C: 服 务 域 安全 

D. 业 务 域 安全 

答案 : A|B|C|D 





NW HuAwel 


安全 、 内 


部 网 


M 


< 


Thank you 


Www.huawel.com 





HC120320002 
终 痛 安全 体系 设计 





洒 


3 您 将 能 饮 : 
设计 思想 ; 

握 终 端 安全 相关 技术 ; 

解 Policy center 的 主要 功能 ; 


握 终端 安全 设计 需 注 意 的 要 素 ; 


下 
ci 
手 - 
了 
手 - 
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本 章 介 绍 了 终端 安全 体系 设计 思想 、 相 天 技术 ^ 华为 终端 安全 产品 Policy center 以 及 终 
端 安全 体系 设计 方案 。 
@ 重点 关注: 

0 ” 终 问 安全 技术 


口 终 Y 出 安全 体系 设计 方案 


Policy center 系统 简介 


终 闹 安全 系统 设计 万 肝 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 





本 万 主要 介绍 终端 安全 体系 设计 思想 ， 从 不 人 同 角 度 分 析 终 端 安全 设计 思路 。 


SS 资产 管理 系统 
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讲述 终端 安全 设计 思想 之 前 ， 我 们 首先 要 明确 我 们 所 保护 的 目标 对 象 是 什么 ” 这样 才 
能 从 根本 上 提供 对 应 的 防护 措施 ， 通 过 企业 的 IT 安 全 的 分 析 和 多 年 的 业务 实践 ， 总 结 出 资 
产 是 企业 的 生命线 ， 是 重要 保护 对 象 。 


资产 安全 是 终端 安全 立体 防御 体系 所 需 天 注 的 重要 工作 ， 资 产 主 要 涉及 物理 资产 、 系 
统 资产 、 信 息 资 产 。 因 3 类 资产 的 特殊 性 ， 物 理 资 产 一 般 是 指 终端 PC 的 资产 ; 系统 资产 ， 

投 是 指 终端 PC 的 操作 系统 与 应 用 系统 、 业 务 服务 器 的 操作 系统 与 应 用 系统 ; 而 信息 资 
产 ， 一 般 是 指 文档 信息 或 数据 等 信息 。 


终 问 安全 设计 思想 是 要 保障 这 3 类 资产 的 安全 ， 基 于 这 3 类 资产 所 面临 主要 问题 的 特点 ， 
可 采用 资产 en 业务 系统 安全 、 业 务 文档 安全 系统 来 解决 对 应 问题 。 而 我 们 提出 的 
5 大 要 系 将 对 应 这 3 类 安全 措施 ， 以 构建 终端 安全 立体 防御 体系 解决 方案 
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基于 终端 是 内 部 网 络 最 大 的 安全 隐患 源头 公 是 我 们 在 内 部 网 络 的 控制 重点 。 我 们 可 以 
对 终 痛 用 户 的 业务 模型 进行 分 析 ， oe et 既 不 同类 型 人 员 通 过 各 类 
行为 应 用 企业 的 资产 。 在 这 应 用 、 使 用 企业 资产 过 程 中 ， 人 员 和 行为 均 有 可 能 对 资产 的 正 
单 运行 造成 重大 的 安全 风险 。 

可 能 影响 资产 的 安全 风险 八 除了 资产 自身 的 系统 弱点 (操作 系统 和 应 用 系统 所 固有 的 
系统 缺陷 或 配置 缺陷 ) 或 相 必 的 安全 指 施 设置 不 当 外 ， 人 员 (终端 用 户 ) 或 行为 的 外 在 影 
吗 将 占 绝 大 多 数 因素 。 而 人 员 的 因素 是 最 难 解 决 、 也 是 最 复杂 的 ， 由 于 终端 所 具有 的 特点 ， 
个 员 的 分 类 是 及 其 复杂 的 。 比如 可 分 为 : 内 部 人 员 、 外 部 人 员 ; 而 内 部 人 员 根 据 职位 、 业 
务 需 要 ， 可 能 分 为 普 志 人 员 、 经 理 人 员 、 高 层 人 员 等 ， 而 针对 IT 管理 需要 可 能 也 可 分 为 终 
端 用 户 忆 管理 员 、 操 作 员 、 审 计 员 等 ; 而 外 部 人 员 根 据 与 企业 的 业务 关系 ， 可 能 分 为 客户 

员 、 人 合作 伙伴 人 员 、 不 相干 人 员 ; 而 内 部 人 员 和 外 部 人 员 寿 根据 安全 性 来 分 类 ， 又 能 分 
为 合法 人 员 、 非 法 人 员 ， 且 合法 人 员 又 能 再 细 分 为 安全 人 员 、 不 安全 人 员 。 


通过 对 以 上 人 员 按 不 同 维度 进行 分 类 ， 发 现 他 们 之 间 有 的 属于 交集 关系 ， 有 的 则 没有 
任何 关系 ， 因 此 在 企业 IT 组 织 中 ， 对 人 员 分 类 是 相对 困难 的 也 是 重要 的 。 ee 
象 ， 那 么 由 人 员 产 生 的 行为 就 相对 复杂 ， 为 了 便于 描述 ， 可 以 把 人 员 的 行为 分 为 有 意 行 
和 无 意 行 为 ， 这 两 类 行为 都 或 多 或 少 对 企业 的 资产 造成 影响 。 


有 和 意 行 为 ， 一 般 建议 采用 信息 安全 流程 制度 (包括 奖惩 措 施 ) + 信息 安全 技术 来 共 
完成 ， 也 是 本 教材 重点 讲述 内 容 。 而 无 意 行 为 ， emel 人 人 i 
方式 利用 ， 此 类 措施 主要 是 经 常 给 员工 进行 信息 安全 意识 培训 ， 这 类 内 容 不 在 本 教材 给 
详细 描述 ， 请 参考 相关 类 型 材料 。 


安全 


强制 入 网 终 疹 
合 规 ， 通 过 策 
略 遵 从 和 审计 
_ 降 低 风 险 


网 络 身 份 识别 


以 网 络 身 份 识别 为 基础 ， 以 准 入 控制 为 手段 ， 以 昌 面 管理 为 补充 ， 构 建 一 
体 化 的 内 网 安全 解决 方案 


。 主动 防御 ， 从 源头 消除 漏洞 和 威胁 ; 确保 终端 合 规 、 受 控 





N、 
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安全 管理 和 果 面 管理 为 相互 依存 、 互 为 补充 的 天 系 ， 通 过 果 面 管理 落实 和 加 强 终端 安 
全 和 常理， 提高 安全 管理 水 平 。 


全 设计 思想 概述 


2.2 身份 认证 

2.3 接 入 控制 

2.4 安全 认证 

2.5 业务 授权 与 审计 
Policy center 系统 简介 


4， 终 端 安全 系统 设计 
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终 病 安 全 技术 概 


控制 力度 增强 
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。 终端 安全 技术 主要 包括 以 下 几 个 方面 : 


口 


口 


口 


身份 认证 : 关注 身份 标识 、 角 色 定 义 、 外 部 认证 系统 等 ; 

接 入 控制 : 关注 软件 防火 堵 N802.1X 交 换 机 、 网 天 准 入 控制 、ARP、DHCP; 

安全 认证 : 关注 防 病毒 软件 、 补 丁 管理 、 非 法 外 联 管理 、 存 储 介 质 管理 、 上 网 行 
为 管理 ; 

业务 审计 与 授权 : 天 注 业 务 系统 权限 控制 ， 天 注 业 务 系统 类 审计 ， 各 种 日 志 信 息 ， 
用 户 操 作 信 息 。 





终 病 主 机 安全 接 入 控制 


。 安全 接 入 控制 用 于 控制 终端 访问 网 络 的 权限 ， 对 不 同安 全 状况 的 终 
站 用 户 开 放 不 同 的 权限 。 可 以 从 以 下 两 个 方面 去 理解 安全 接 入 控制 


身份 认证 屋 接 类 控制 ， 


基于 代理 Eudemon/USG 





基于 Web 插 件 802.1X 交 换 机 


无 插件 Web 软件 防火 墙 


匿名 Portal 网 关 


访客 自主 服务 混合 接 入 控制 
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安全 接 入 控制 用 于 控制 终端 访问 网 络 的 权限 ， 对 不 同安 全 状况 的 终端 用 户 开放 不 同 的 权限 ， 安 
全 接 入 主要 包括 两 个 方面 的 内 容 ， 身 份 认证 和 接 信 控制 ， 不 同 的 用 户 角色 选用 不 同 的 身份 认证 方 去 ， 
根据 网 络 环境 和 网 络 特点 选用 不 同 的 接 入 方式 


。 身份 认证 : 


口 


基于 代理 的 认证 有 普通 帐号、Microsoft AD 域 账号 、MAC (Media Access Control) 账号 、 
第 三 方 LDAP 账 号 多 种 认证 方式 。 身 份 认 证 、 执 行 终端 主机 安全 管理 策略 和 终端 用 户 行为 
管理 策略 。 其 中 第 三 方 LDAP 包 括 Novell eDirectory、1IBM Tivoli、Sun One 等 ， 一 般 用 于 企 
业 员 工 接 入 认证 ， 需 在 客户 端 安 闭 相应 终端 安全 系统 的 代理 软件 。 


基于 Web 的 认证 方式 ， 只 要 用 户 登 录 Web 客 户 端 认证 界面 ， 身 份 认 证 通过 后 ， 即 可 访问 正 
音 的 网 络 资产 。 文 持 身 份 认 证 功能 ， 这 种 认证 方式 不 需要 安 闪 代理 软件 ， 方 便 ， 但 是 不 
利于 终端 安全 管理 系统 对 终端 主机 的 管理 ， 一 般 不 能 执行 安全 策略 。 一 般 用 于 一 些 临 时 
性 的 用 户 。 


基于 Web 插 件 的 认证 ， 不 需要 专门 安装 代理 软件 ， 可 以 进行 普通 账号 、Microsoft AD 域 账 
号 、 第 三 方 LDAP 账 号 认证 方式 。 支 持 身份 认证 、 执 行 终端 主机 安全 管理 策略 ， 但 某 些 辅 
助 工 具 则 不 能 使 用 ， 如 远程 协助 、 远 程 日 志 采 集 等 。 


匿名 认证 是 指 终端 用 户 不 需要 认证 账号 和 密码 ， 在 指定 的 网 络 区 域 通过 支持 匿名 认证 的 
登录 类 型 即 可 完成 认证 的 一 种 认证 方式 。 对 于 终端 用 户 ， 特 别 是 访客 ， 不 需要 申请 特定 
的 账号 和 密码 ， 使 得 终端 用 户 能 够 更 容易 、 方 便 地 通过 认证 ， 并 接 入 到 受 控 网 络 。 


支持 访客 目 助 服务 。 当 外 来 人 员 需 要 使 用 公司 的 网 络 时 ， 负 责 接 待 的 员工 提出 访客 账号 
申请 而 不 是 管理 员 直 接 为 外 来 人 员 申 请 账号 ， 管 理 员 只 负责 审批 ， 从 而 减轻 管理 员 的 维 
护 工 作 量 ， 并 由 管理 器 目 动 记录 在 条 。 审 核 通 过 后 负责 接待 的 员工 把 账号 信息 告诉 似 接 
竺 的 外 来 人 员 ， 外 来 人 员 使 用 该 账号 进行 身份 认证 后 即 可 接 入 受 控 网 络 。 


全 设计 思想 概述 

.终端 安全 技术 

2.1 终 疾 安全 朱 术 概述 

2.2 身份 认证 

2.3 接 入 控制 

2.4 安全 认证 

2.5 业务 授权 与 审计 

Policy center 系统 简介 


4.， 终 靖 安 全 系统 设计 
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号 份 认 证 模型 
认证 方式 


sm 要 = ewb | 
用 


会.webAgen|- 一 > 


本 8 Aoent 一 > 
人 
“人 





认证 等 级 


认证 系统 | 


W 
WC O50 ov . 


访客 用 户 woo ed 


IBMTivoll 


济济 琴 刁 尘 讨 


如 Agent 一 > MAC 地 址 
UV 
Me 


内 部 员工 


S Agenf > 数字 证 书 


A > 
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身份 认证 中 涉及 几 个 概念 ， 比 较 重 要 的 是 角色 ^ 认证 方式 、 认 证 等 级 、 认 证 系统 。 


角色 ， 既 把 一 组 具有 业务 相关 性 人 员 进 行 的 集合 。 一 般 在 职能 型 或 项 目 型 组 织 ， 角 色 
与 业务 部 门 或 项 目 组 之 间 有 一 一 对 应 关系 。 茶 角色 可 能 既 属于 菏 一 业务 部 门 ， 又 属于 另 
一 项 目 组 ; 认证 方式 ， 是 终端 用 为 采用 的 客户 端 妹 介 ， 0 


WebAgent、Agent 等 3 种 类 型 组 成 。 基 于 Web、WebAgent 认 证 方式 在 有 些 功 能 上 可 能 无 法 
实现 ， 按 实现 功 全 pe Nie Agent 逐 步 提升 ， tobe 
Agent 功 能 最 强 ; 认证 等 级 ， 一 般 有 2 种 等 级 ， 一 种 等 级 为 我 知道 、 我 拥有 、 我 具有 ， 而 另 


一 种 等 级 为 单 因素 、 Dee 多 因素 ， 不 管 ey 最 重要 是 关注 安全 强度 和 投入 成 本 
之 间 的 平衡 和 认证 系统 ， 是 身份 认证 的 数据 兰 ， 一 般 情 况 下 终端 安全 软件 目 身 市 了 认证 系 
统 ， 或 可 与 企业 目 喘 的 认证 系统 进行 整合 ， 目 前 业界 流行 的 认证 系统 主要 是 LDAP。 


华为 终端 安全 系统 ， 提 供 三 种 方式 进行 身份 认证 ， 包 括 web 客 户 端 、web 客 户 端 插件 、 
客户 端 agent 等 ; 提供 的 五 种 身份 认证 类 型 包括 : 普通 账号 认证 、AD 域 账号 认证 、MAKC 账 
号 认证 、LDAP 账 号 认证 、 数 字 证 书 认证 。 其 中 web 客 户 端 、web 客 户 端 插件 可 文 持 普通 账 
号 、AD 域 账号 、LDAP 账 号 三 种 进行 认证 ，agent 可 支持 上 面 全 部 五 种 类 型 。 


LDAP (Lightweight Directory Access Protocol): 轻型 目录 访问 协议 ， 是 指 能 够 使 用 
LDAP 协 议 存 取 数 据 的 目录 服务 。LDAP 目 录 以 目录 树 方式 呈现 自身 存储 的 数据 ， 它 由 若干 
种 对 象 组 成 ， 人 允许 管理 员 给 出 若干 个 对 象 的 属性 快速 定位 至 该 对 象 ， 具 有 较 好 的 搜索 性 能 。 
LDAP 目 录 通 过 账号 和 密码 来 验证 终端 用 户 喘 份 的 合法 性 。 华 为 终端 安全 产品 广 持 与 Novel 
eDirectory、Microsoft AD 域 控制 器 、IBM Tivoli、Sun One、JIT Galaxy 及 按照 标准 LDAP 协 议 
实现 的 目录 服务 器 联动 来 完成 终端 用 户 的 身份 认证 。 


本 地 认证 


身份 认证 是 终端 安全 的 第 一 道 墙 
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身份 认证 作为 内 网 安全 的 基础 ， 是 终端 安全 的 第 一 道 墙 ， 通 过 身份 认证 可 以 拒绝 非法 
用 户 对 内 网 资源 的 使 用 或 者 破坏 。 通 过 本 过 程 ， 对 用 户 的 身份 进行 标识 ， 为 后 续 业 务 授权 、 
监控 、 审 计 等 提供 身份 标识 。 


本 地 认证 ， 即 用 户 的 身份 标识 信息 存储 在 终 山 安全 系统 的 数据 库 ， 在 身份 认证 时 ， 客 
万 端 与 终端 安全 系统 交互 信息 以 验证 客户 端的 合法 性 。 


外 部 LDAP 认 证 


用 户 名 + 口令 
身份 验证 合法 


SS 
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端 安 全 体系 除了 支持 本 地 认证 系统 外 ， 还 支持 与 外 部 LDAP 认 证 系统 进行 整合 ， 以 降 
0 资 与 日 常 运 维 复杂 性 。 采 用 外 部 LBAP 认 证 系统 后 ， 用 户 帐 号 的 合法 性 将 由 其 来 验 
证 ， 在 接收 到 由 原来 终端 支 全 认证 系统 传递 过 来 的 用 户 信息 ， 外 部 LDAP 将 接收 到 的 用 户 名 
与 口令 信息 进行 验证 ， 若 通过 将 同 终端 安全 认证 系统 返回 确认 人 信息， 证明 此 用 尸 帐号 为 合 
十 

终端 安全 系统 可 以 支持 若干 个 外 部 数据 产 ， 具 体 依据 不 同 产 品 及 版 本 而 定 ， 同 时 可 以 
支持 配置 主 备 外 部 认证 源 ， 增 强 可 靠 性 。 
此 认证 方式 可 文 持 Web、WebAgent、 Agent 3 种 类 型 。 


什么 是 数字 证 书 ? 
。 数字 证 书 概 众 
o 根 证 书 
o 用 户 数字 证 书 
o 服务 器 数字 证 书 可 标识 
o 证 书 吊销 列表 
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在 终端 安全 立体 防御 体系 中 ， 加 入 数字 证 韦 认 证 方式 可 加 强身 份 认证 的 级 别 。 它 主要 
由 4 大 功能 组 成 : 可 标识 ， 唯 一 标识 用 彤 身份 ; 保密 性 ， 数 据 传输 过 程 不 会 泄密 ;不 可 否 
认 ， 操 作 过 程 不 可 否认 ; 防 算 改 ， 数 据 传输 过 程 不 被 算 改 ; 

。 数 子 证 书 主要 涉及 以 下 概念 闪 根 证 书 、 用 户 数字 证 书 、 服 务 器 数字 证 书 、 证 书 吊 销 列 

表 。 

0 数字 证 书 : 由 用 户 信息 、 用 户 公 钥 、 签 名 信息 等 3 部 分 组 成 ; 


o 根 证 书 : 由 SA 认证 中 心 给 企业 颁发 的 数字 证 书 ， 其 是 证 书 体系 中 最 特殊 的 一 种 
证 书 入 它 的 签发 者 是 数字 证 书 的 基础 ， 


6 用户 数 字 证 书 : 用 来 证 明 用 户 合法 身份 的 一 类 数字 证 书 ， 其 使 用 根 证 书 进行 签名 


9 ”服务 器 数字 证 书 : 用 户 证 明 服务 器 合法 身份 的 一 类 数字 证 书 ， 其 使 用 根 证 书 进行 
签名 ; 

0 证 书 吊销 列表 : 由 CA 认证 中 心 签署 的 一 系列 失效 数字 证 书 列表 ， 数 字 证 书 均 有 
一 定 的 生命 周期 ， 但 因 业 务 原因 需 缩短 其 生命 周期 。 


数字 证 书 认证 流程 


认证 客户 端 USBKEY 控制 服务 器 
| | 
: 检查 是 否 插入 KEY 


插入 KEY OK : 


| ,建立 SSL 连 接 ， 


,生成 随机 数 ， 调 用 CSP 的 接口 对 该 随机 数 进行 签名 











:| | USBKEY 自 行 弹出 PIN 码 输 | | 
汪 得 随机 糙 钴 名 姓 里 HS a 
疾 得 随机 数 签名 结果 | | | 入 框 ， 要 求 输入 PIN 码 验证 | 


| 执行 身份 认证 过 程 : 数字 证 书 + 随 机 类 + 签名 结果 | 
ER < 


验证 证 书 有 效 性 
验证 证 书 是 否 撤消 

| 验证 签名 正确 性 

从 证 书 中 提取 身份 信息 
身份 认证 成 功 | 
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。 关于 USBKEY 的 PIN 码 问题 
0 是 否 需要 弹出 PIN 码 输入 框 ， 以 有 如 何 弹出 ， 均 由 UsBKEY 产 品目 身 实 现 ， 与 后 合 
服务 器 无 天 。 
。 天 注 用 记号 份 信息 提取 
0 证书 如 何 映射 到 账号 ， 需 要 在 服务 器 端 配 置 。 
。 支持 USBKEY 认 证 


0 原则 半 入 只 要 USBKEY 支 持 标 准 的 CSP 接 口 者 能够 支持 。 建 议 以 测试 的 情况 为 准 ， 
因为 不 同 厂商 实现 的 情况 还 是 有 一 些 差 异 ， 有 具体 已 验证 厂商 请 查找 相关 产品 文档 
确认 。 


全 设计 思想 概述 
.终端 安全 技术 

2.1 终 响 安全 朱 术 概述 
2.2 有 身份 认证 
2.3 接 入 控制 
2.4 安全 认证 
2.5 业务 授权 与 审计 
Policy center 系统 简介 


4.， 终 靖 安 全 系统 设计 
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接 入 控制 技术 


软件 SACG : 
可 有 效 控 制 局 域 网 内 终端 主机 互相 访问 的 行为 。 











802.1X 交 换 机 : 
六 全 放下 高 ， eb 





Portal 网 关 : 
基于 动态 VLAN、 动 态 ACL 下 发 的 用 户 角 色 访问 





硬件 SACG : 
适用 于 各 种 规模 的 网 络 ， 雪 





WW huAwel 


软件 SACG/ 终 端 互 访 控制 : 是 内 置 在 终端 A@&nt 上 的 一 个 组 件 ; 
标准 802.1X 交 换 机 : 支持 业界 流 J802. 入 交换 机 ， 如 华为 、 H3C、 CISCO; 


PORTAL 网 关 : 华为 交换 机 的 3306N5300 系 列 交换 机 (软件 版 本 V100R006) ， 能 够 作 
为 PORTAL 网 关 ， 实 施 准 入 控制 ; 


硬件 SACG: 终 > 8 安全 系统 可 以 与 全 系列 华为 中 低 省 防火 墙 联动 《如 US3C 系 统 ) 。 








软件 SACG 准 入 控制 


方案 特 氮 


、 gy , . 


Ll 


网 络 层次 不 清晰 ， 无 明显 控制 点 


服务 器 分 散 ， 无 明显 控制 点 | 


项 目 建设 和 日 常 运 维 资金 投入 有 限 | 
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软件 SACG 准 入 控制 方式 是 纯 软 件 类 方案 ， 鞭 最 大 特点 是 部 署 灵 活 、 维 护 简 单 ， 可 有 效 
地 防护 区 域 终端 的 安全 ， 但 不 能 很 好 地 对 业务 系统 进行 防护 ， 但 其 可 通过 与 802.1x 准 入 控 
制 或 网 关 级 准 入 控制 技术 进行 组 织 ， 实 现 终端 之 间 和 终端 与 业务 系统 之 间 双 重 安全 防护 。 

此 类 准 入 控制 方式 比较 适应 以 平 场景 : 1) 网 络 层次 不 清晰 ， 无 明显 控制 点 ;2) 服 务 器 
分 散 ， 无 明显 控制 点 ; 3) 项 目 建设 和 日 常 运 维 资 金 投入 有 限 的 企业 环境 。 此 方案 最 大 的 缺 
点 是 无 法 有 效 地 对 企业 业务 系统 进行 防护 。 

在 终端 安全 系统 的 组 成 部 件 中 并 不 存在 软件 安全 接 入 控制 网 天 这 个 软件 实体 。 通 过 管 
理 员 在 终端 安全 管理 器 上 配置 的 规则 并 下 发 至 代理 执行 来 控制 终端 主机 接 入 受 控 网 络 。 所 
以 是 终端 安全 管理 系统 和 终端 代理 共同 完成 接 入 控制 ， 所 以 软件 的 SACG 接 入 控制 方 式 的 
接 入 客户 喘 需 要 代理 。 
® 安全 域 : 

0 ”认证 前 域 : 终端 安全 认证 系统 。 

0 认证 后 域 : 企业 业务 系统 。 

0 ”隔离 域 : 防 病毒 、 补 丁 等 各 种 修复 服务 器 。 


802.1X 接 入 控制 


802.1X 交 换 机 


9 A 
一 和 有 本 二 方案 特点 


终端 安全 认证 系 
端 安 全 认证 系 设备 及 品牌 分 散 ， 调 研 梳理 困难 


本 适应 场景 终端 代理 部 署 困难 
网 络 规模 小 、 接 入 层 设备 物理 位 置 集中 无 有 效 网管 ， 运 维 成 本 较 高 


搂 入 层 设备 均 支持 802.1X 一 一 一 
接 入 层 设备 属 同一 厂商 | 下 挂 设 备 可 能 被 说 过 @ 


运行 接 入 层 设 备 厂商 网 管 软件 | 不 支持 逃生 通道 
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讲述 802.1X 准 入 控制 前 ， 我 们 先 了 解 一 下 蓉 于 靖 口 的 802.1X 协 议 起 源 ， 制订 802.1X 
协议 的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 欠 认证 问题 。 在 它 的 设计 体系 结构 中 采用 了 
“可 控 端 口 "和 "不 可 控 端 口 “ 的 逻辑 端口 仆 实现 认证 流 和 业务 流 的 分 离 ， 既 由 认证 系统 和 
802.1X 交 换 机 利用 不 可 控 的 逻辑 端 吕 共同 完成 对 用 户 的 身份 进行 认证 ， 使 其 由 不 可 控制 端 
口 转变 为 可 控 端 口 后 ， 完 成 业 次 流 数据 的 传输 。 


基于 标准 802.1X 准 从 控制 方式 ， 此 最 大 特点 是 : 1) 网 络 内 设备 及 其 品牌 多 样 化 ， 存 
在 调研 困难 ， 可 能 导致 代理 部 署 困难 ， 运 维 成 本 较 高 。 若 运行 了 接 入 层 设 备 厂 商 网 管 软 件 
可 能 可 以 降低 运 维 成 本 ， 比 如 交换 机 出 现 故障 ， 可 能 需 人 为 至 现场 进行 手工 修改 ; 2) 由 于 
实现 了 身份 认证 与 安全 认证 的 分 离 ， 再 加 上 802.1X 固 有 的 准 入 能 力 ， 使 其 准 入 控制 能 力 特 
别 强 ,得 由 于 单纯 的 标准 802.1X 无 法 把 安全 认证 进行 整合 ， 致 使 其 安全 认证 控制 能 力 特别 
弱 个 既 无 法 实现 对 不 安全 终端 的 隔离 修复 ; 3) 可 能 存在 终端 用 户 私 自 下 挂 设 备 ， 导 致 可 能 
被 绕 过 现象 ， 华 为 设备 可 通过 基于 MAC 地 址 认证 来 解决 ， 其 它 厂商 设备 可 能 存在 此 现象 。 

下 挂 设 备 藻 为 智能 HUB 或 低 端 交换 机 〈 需 支持 组 播 透 传 ) ， 可 能 存在 802.1X 认 证 报 文 
无 法 穿越 问题 。 

介 于 以 上 特点 ， 标 准 802.1X 准 入 控制 适应 场景 为 : 1) 网 络 规模 相对 比较 小 ， 且 接 入 层 
设备 物理 上 比较 集中 环境 ; 2) 接 入 层 设 备 均 需 文 持 802.1X， 且 属于 同一 厂商 设备 ; 3) 最 
好 有 运行 接 入 层 设备 厂商 的 网 管 软件 。 

右 单纯 从 准 入 控制 角度 ，802.1X 是 个 不 错 的 解决 方案 ， 除 了 部 署 复杂 些 和 无 法 实现 逃 
生 通 道外 。 





802.1X 接 入 济 程 


- > ly | ee 2 绪 | 了 A Bu 
认证 客户 端 交换 机 控制 服 务 器 
| Radius 
. 1.EAPOL-START ， 
| 
2.EAP-REQ 


3.EAP-RSP : 该 报 文 携带 账号 ， 
| >| 4.Radius-Access-REQ | 
8 


5.Radius-Access-Challenge I 
* 6.EAP-MD5-Challenge 
| 获得 随机 数 签名 结果 | | 
计算 MD5 校 验 码 | : 
终端 执行 安全 策略 检查 | | 
| 7.EAP-RSP/MD5, 携 带 安全 检查 结果 | 
: 8.Radius-Access-REQ/EAP-RSP/MDS: 

态 验 身份 pp 

根据 配置 计算 VLAN 参 数 时 共 


| J 
‘9.Radius-Access-Accept/EAP-Success@， 
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。 有 线 802.1X 终 端 与 交换 机 之 间 交 互 EAP 报 文 ,2E 换 机 与 服务 器 之 交互 Radius 报 文 ， 基 本 


认证 流程 : 

1. 终端 AGENT 通 过 发 送 EAPOL-START， 触 发 交换 机 发 起 802.1X 认 证 流程 

2. 交换 机 发 送 EAP-RequesbMldentity， 对 触 肥 报 文 进行 回应 开始 802.1X 的 认证 流程 

3. AGENT 发 送 EAP-Response/ldentity 消 息 ， 该 消息 携带 终端 的 账号 信息 

4. 交换 机 收 到 EAP-Response/ldentity 消 息 ， 把 该 消息 封装 成 Radius 报 文 ， 发 送 给 
Policy Ceriter 服 务 器 〈 Policy Center 服 务 器 提供 Radius 服 务 ) 

5. Policy Genter 服 务 右 决定 使 用 MD5 的 方式 进行 认证 ， 使 用 Radius 协 议 封装 EAP- 
Request/MD5-Challenge 消 息 ， 发 送 给 交换 机 ; 

6. 交换 机 转发 EAP-Request/MD5-Challenge 给 终端 AGENT 

7. AGENT 计 算 MD5 什 ， 根 据 离线 东 略 做 安全 检查 ， 把 MD5 什 和 安全 检 杜 结果 ， 通 过 
EAP-Response/MD5， 发 送 给 交换 机 

8. 交换 机 通过 Radius 封 装 ， 转 及 EAP-Response/MD5 

9. 服务 需 收 到 该 EAP-Response/MD5 后 ， 首 先 检查 吴 份 是 否 OK， 然 后 检查 安全 检 在 


结果 ， 根 据 安全 检查 结果 /以 及 系统 配置 ， 决 定 是 否 发 送 VLAN 参 数 


10. 当 代理 收 到 EAP-SUCCESss 的 消 轧 ， 确 认 802.1X 认 证 通过 ,这 时 候 Policy Center 


AGENT 会 检查 终端 的 |P 地 址 获取 方式 ， 如 果 是 使 用 DHCP 获 取 IP 地 址 ， 则 触发 获取 
IP 地 址 。 


MAC 劳 路 认证 和 无 线 802.1X 


。 在 日 党 场景 中 ， 有 很 多 许 接 入 受 控 网 络 的 设备 是 不 能 安 流 终端 代理 
的 ， 如 打印 机 ，IP 电话 等 ， 还 有 一 些 设备 可 能 安装 的 是 非 华 为 
802.1X 终 端 ， 针 对 以 上 两 种 场景 ， 我 们 应 对 方法 


、、 |。 打印 机 、IP 电 话 、 | 
MAC 旁 路 认证 i 电话 、 传 真 机 、 业 务 


增加 无 线 网 络 . 智能 设备 ，Windows 802.1X 窗 
的 SSID 尸 吴 ， 其 他 第 三 方 标 准 客户 病 
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当 启 用 802.1x 交 换 机 接 入 控制 方式 时 ， 只 有 通过 NAC Agent 客 户 端 完 成 认证 的 设备 才 
能 正常 访问 网 络 ， 即 终端 必须 安装 代理 ,对 手打 印 机 、IP 电 话 等 设备 ， 由 于 不 能 安装 和 使 
用 NAC Agent 客 户 端 ， 为 了 保证 这 些 设备 能 够 正常 访问 网 络 ， 需 要 将 这 些 设备 添加 为 MAC 
旁 路 认证 设备 。 由 于 MAC 旁 路 认证 没 备 具 有 访问 整个 网 络 的 权限 ， 请 妥善 添加 MAC 旁 路 认 
证 设备 

对 于 没有 安装 代理 的 终端 设备 ， 如 果 需 要 使 用 其 他 的 802.1X 客 户 端 向 管理 器 认证 以 接 
入 无 线 网 络 ， 则 需要 将 这 些 设备 所 连接 的 无 线 网 络 SSID 配 置 到 管理 器 的 SSID 列 表 中 。 使 用 
其 他 802.1X 客 户 端的 终端 设备 包括 : 智能 设备 、Windows 操 作 系 统 自 带 的 802.1X 客 户 端 以 
及 其 他 支持 标准 协议 的 第 三 方 802.1X 客 户 端 。 


Portal 网 天 接 入 控制 


终端 安全 认证 系统 


适应 场景 
网 络 规模 小 、 接 入 层 设备 物理 位 置 集中 | 
接 入 层 设备 属 华为 NAC 系 列 交换 机 


运行 华为 网 管 软件 
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Portal 网 关 准 入 控制 技术 ， 采 用 Portal 认 证 对 终端 用 户 进行 身份 认证 或 身份 认证 和 安全 
认证 。Portal 认 证 也 称 Web 认 证 ， 其 基本 原理 是 : 终端 用 户 首次 打开 Web 浏 览 器 ， 访 问 任何 
网 址 ， 都 被 强制 重 定向 到 Portal 服 务 器 的 认证 页 面 。 只 有 在 身份 认证 通过 后 ， 终 端 用 户 才 
能 访问 网 络 资源。 未 认证 的 终端 用 户 只 能 访问 特定 的 站 点 服务 器 。Portal 认 证 通过 Web 页 
面 输入 用 户 名 和 密码 ， 使 用 Poftal 协 议 完 成 认证 过 程 。 但 为 了 完成 安全 检查 任务 ， 终 端 主 
机 必须 安装 终端 代理 或 Web Agent 插 件 。 

采用 802.1x 控 制 方式 或 PPPoE 探 制 方式 控制 终端 主机 接 入 受 控 网 络 ， 只 可 对 接 入 层 的 
终端 用 户 进行 控制 并 且 必 须 在 终端 主机 上 安装 客户 端 ， 组 网 方式 不 够 灵活 。 而 Portal 认 
证 控制 方式 县 有 土 述 两 种 控制 方式 不 具备 的 优势 ， 一 方面 Portal 网 关 部 署 在 接 入 层 或 数据 
中 心 的 出 口 处 ， 部 署 位 置 灵 活 ， 另 一 方面 终端 主机 无 须 安装 客户 端 ， 降 低 部 署 成 本 。 

Portal 网 关 准 入 控制 目前 还 暂 不 文 持 逃生 通道 机 制 。 





Portal 网 关 接 入 流程 


控制 器 接 入 设备 
Portal 服 务 器 和 Radius 服 务 器 Se 
/ 


客户 端 
| 
1。 发 起 身份 认证 
请 求 
| 2。 身份 认证 通过 ， 下 发 策略 
I | 4. 发 起 Challenge 请 求 
: 5.Challenge 请 求 成 
| | 6. 发 起 认证 请 求 
: (包含 安全 检查 结果 : 成 功 ) 
| 。 7 请 求 ACL 
| ， 8. 下 发 认证 后 域 的 ACL | 
9 确认 ACL 下 发 成 功 | Portal 协 议 
10. 确 认 OK Radius 协 广 
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接 入 流程 : 

1. 终端 用 户 发 起 身份 认证 请 求 。 

2. 在 终端 用 户 通 过 身份 认证 后 闪 控 制 器 向 代理 或 Web Agent 插 件 下 发 策略 。 

3. 代理 或 Web Agent 插 件 执 行 策略 ， 然 后 问 控制 器 发 送 安全 检查 的 执行 结果 (认证 
通过 ) 。 

4. 这 里 属于 Pertath 认 证 流程 的 起 点 ， 探 制 器 (角色 是 Portal 服 务 器 ) 回 交 换 机 发 送 
Challefige 请 来 报 文 ， 同 时 开始 计时 ， 等 待 交换 机 的 应 答 。 如 果 在 指定 的 时 间 范 围 
内 没有 收 到 来 自 交 换 机 的 应 答 ， 则 重新 问 交 换 机 发 送 Challenge 请 求 报 文 。 如 果 达 
到 最 大 发 送 次 数 依然 没有 收 到 交换 机 的 啊 应 ， 则 通知 代理 或 Web Agent 插 件 认 证 
失败 。 

5. 交换 机 发 送 Challenge 应 答 报 文 。 

6. 控制 器 (角色 是 Portal 服 务 器 ) 按 CHAP 算 法 计算 CHAP-PASSWORD ， 在 扩展 字段 


附加 安全 检查 结果 (安全 检查 通过 ) ， 然 后 向 交换 机 发 起 认证 请 求 ， 同 时 开始 计 
时 ， 等 待 交 换 机 的 应 答 。 如 果 在 指定 的 时 间 范 围 内 没有 收 到 来 自 交 换 机 的 应 答 ， 
则 重新 向 交换 机 发 送 请 求 报 文 。 如 果 达 到 最 大 发 送 次 数 依然 没有 收 到 交换 机 的 响 
应 ， 则 通知 代理 或 Web Agent 插 件 认 证 失败 。 


1 . 


切换 域 流程 (隔离 域 访 后 域 ) 


。 隔离 域 祖 认证 后 域 切换 流程 


PORTAL 
SERVER(SC) 
| | 


sh Su | oT yi ES 
= < > 认 让 被 陋 加 


rr 有 》 NE 
各 户 站 


| 发 送 安全 认证 消息 
和 


接 入 设备 
(交换 机 ) 
| 


PORTAL 上 线 请 求 


用 户 已 经 在 线 


使 用 COA 消 息 下 发 ACL 
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客户 端 发 送 认 证 消息 


. Portal 上 线 请 来 


2 
3. 用 户 已 经 在 线 
4. 
5 
6 


下 发 ACL 


. 终 六 上线 OK 


应 答 OK 
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硬件 SACG 接 入 控制 


”认证 后 域 


无 法 控制 终端 互 访 
身份 认证 与 安全 认证 分 离 : 


z < 
网 络 规模 比较 大 ， 且 分 布 比较 广 CS 
网 络 层次 结构 清晰 部 署 快 简 ， 维 护 方便 | 


核心 层 文 持 硬件 >yACC 的 对 接 | 支持 逃生 通道 


有 上 比较 完善 的 安全 管理 制度 | SN 
NN 
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4 、 了 »、 - 





。 和 份 认证 前 ， 流 量 只 能 访问 认证 前 域 资源 ;安全 认证 后 ， 在 硬件 SACG 上 动态 生成 ACL 
的 防火 墙 规 则 。 
。 对 于 无 需 安 衣 客 户 站 的 机 器 : 可 以 根据 MAC、IP、MAC+IP 不 对 其 进行 控制 。 


硬件 SACG 接 入 流程 


| | 
a | 


. 1. 建立 SSL 连 接 
上 De 


认证 客户 端 准 入 控制 设备 控制 服务 器 











i me 中 
. 2. 执行 身份 认证 过 程 ，AD 认 证 、 用 户 名 + 口令 认证 等 : 


13. 请 求 该 认证 账号 对 应 的 安全 策略 参 娄 
返回 与 该 账号 关联 的 安全 策略 参数 
4. 终端 执行 安全 策略 检查 


5. 上 报 终端 安全 检查 结果 





6. 根 据 安全 检查 的 结果 控制 准 入 控制 设备 切换 认证 域 : 
| 


7. 返 回 安全 认证 的 结果 : S% 
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。 SACG 接 入 流程 
1. Agenf 与 SC 建立 SSL 连 接 
2. 执行 身份 认证 
3. 请 求 安全 策略 参数 
4. Agent 执 行 安 全 策略 检查 
5. AgeRt 把 安全 检查 的 结果 上 报 3C 

6\SC 根 据 安全 检查 的 结果 控制 准 入 控制 设备 切换 认证 域 


7. SC 返回 安全 认证 结果 ， 认 证 流程 结束 


切换 域 流程 (隔离 域 访 后 域 ) 





认证 客户 端 控制 服务 器 
| “人 
,SSL 连 接 已 建立 : > 














终端 当前 处 于 隔离 域 | 
终端 用 户 执行 修复 操作 
， | | 











bh 发 送 上 线 消息 〈 携 带 安全 检查 结果 ) | | 
一 一 一 一 人 


| I 2. 给 SACG 下 发 上 线 消息 | 
一 


[站 FEW 支 持 重新 [ 线 || | 


不 需要 下 线 就 可 以 再 次 上 线 
| | ; | : 
\ 返回 安全 认证 的 结果 | 
修改 终端 显示 状态 

为 安全 认证 通过 
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终 站 位 于 隔离 撒 > 终端 用 户 氮 击 修复 (假设 违规 可 以 目 动 修复 ) 人 修复 后 目 动 进入 后 域 


接 入 万 案 绽 合 对 比 


em 硬件 SACG 软件 SACG 802.1X ”Portal SACG+ 主 机 防 


适宜 网 络 规模 


部 署 和 维护 成 
本 


管理 控制 力度 


认证 后 域 访问 
控制 能 
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。 混合 方案 优势 互补 、 效 果 最 佳 。 

。 各 种 接 入 方案 的 不 足 : 
o SACG: 终端 间 互 访 控 制 差 :无 法 控制 内 部 员工 、 访 客 、 不 合 规 终端 间 互 访 ; 
0 主机 防火 墙 : 管理 力度 弱 : 无 法 强制 安装 客户 端 ; 


。 802.1X: 1) .依赖 二 层 设备 支持 802.1X; 2) 整体 部 署 维护 成 本 高 ; 3) 不 同 厂商 
或 不 同型 号 设备 的 802.1X 特 性 存在 较 大 差异 ， 影 响 部 署 和 客户 体验 。 


Web 推 送 诛 理 及 应 用 场景 


//www.abc.com Ey SS 


0 建立 TCP 连 接 : : 
- - 准 入 控制 ， 
@ 确 认 终 端 是 否 已 通过 认证 
5 确认 终端 是 否 访问 认证 前 域 
@ 准 入 控制 回应 终端 TCP 连 接 SS 
@ 终 端 发 起 HTTP GET 请 求 


“ 终 庙 发 起 HTTP GET 请 求 。。 portal 网 关 
@ 准 入 控制 推送 Web 页面 


无 代理 员工 
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文 持 Web 推 送 的 准 入 控制 设备 ， 硬 件 SACGKSPortal 网 天 。 

前 提 条 件 

o ”终端 主机 使 用 浏览 器 访问 网 络 ， 流 量 经 过 准 入 控制 设备 ; 

o ”终端 还 没有 通过 身份 认证 ， 并 且 需 要 访问 的 资源 不 在 认证 前 域 ; 


o。 终端 若 通过 域名 访问 ， 需 确保 域名 可 解析 且 DNS 服 务 器 部 署 在 认证 前 域 。 若 通过 
P 地 址 访问 、 需 确保 iP 地 址 是 合法 的 单 播 地 址 ; 


0 ” 终 弄 访问 非 认 证 前 域 流量 需 可 路 由 ， 以 触发 Neb 页 面 推 送 机 制 。 
原理 

0、” 准 入 控制 伪 千 目标 计算 机 与 终 并 建 YTCP 和 连接 ; 

0 ” 准 入 控制 设备 通过 HTTP 重 定向 实现 WEB 推 送 功 能 。 


ANS 


0 终端 任意 访问 一 个 |P 地 址 〈 需 IP 地 址 在 硬件 yACC 准 入 控制 设备 上 路 由 ) ， 都 可 以 
实现 WEB 推 运 ， 该 IP 地 址 不 需要 存在 ， 只 需要 流量 经 过 SACG; 

0 ”如 果 使 用 域名 ， 要 求 该 域名 能 够 解析 ， 如 果 域 名 不 能 解析 ， 则 终端 无 法 发 起 TCP 
连接 。 


Web 推送 组 件 


” 接 入 终端 


准 入 控制 


网 关 级 
准 入 控制 URL 重 定向 下 载 AcfiveX 控 


晒 汰 光 瞩 灿 与 贷 
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进行 内 网 终端 的 准 入 条 件 是 需 进 行 身份 认 钙 认证 方式 主要 存在 三 种 方式 : Web、 
ActiveX(WebAgent)、Agent。 


Web 只 能 提供 身份 认证 ， 不 能 进行 安全 认证 ， 适 用 于 只 需 进行 访问 Internet 的 外 来 访客 


了 


a PO 还 能 进行 部 分 安全 认证 ， 适 用 于 访问 企业 内 部 非 敏 
业务 资源 的 外 来 访客 


Agent 能 提供 强大 的 身份 认证 和 安全 认证 ， 企 业内 部 终端 一 般 采 用 此 方 陈 。 


前 安全 多 层次 接 入 控制 体系 


软件 SACG 硬件 SACG 
员工 
SS 


管理 者 SS Portal 网 关 准 入 控制 
[一 一 


9 提供 软 硬 件 端点 准 入 控制 准 入 控制 ' 8 提供 网 CER 


普通 业务 系统 


——»p 


n 


敏 右 业 旁 系统 
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ha 


Portal 网 关 若 与 802.1X 交 换 机 进行 准 入 控制 整合 时 ， 需 确保 他 们 不 是 同一 


合 交换 机 设 


全 设计 思想 概述 


2.1 终 凯 安全 技术 概述 
2.2 身份 认证 

2.3 接 入 控制 

2.4 安全 认证 

2.5 业务 授权 与 审计 
Policy center 系统 简介 


终 病 安全 系统 设计 
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本 节 主 要 介绍 实现 终端 安全 所 使 用 的 技术 。 





安全 认证 

。 安全 认证 是 指 系 统 对 终 
如 果 认 证 不 通过 ， 则 终 3 
括 以 下 几 个 方面 : 


病 主 机 和 用 户 行 为 进行 监控 和 认证 ， 
端 将 会 被 禁止 接 入 业务 网 络 ， 主 要 包 


户 行 为 安全 


DHCP| 文件 | 网 卡 | 非法 
中 全 | 设置 | 操作 | 管理 | 外 连 
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安全 认证 主要 包括 两 个 方面 内 容 : 
0 检查 终端 安全 情况 : 补丁 、 软 件 、 屏 保 、 防 病毒 软件 等 是 否 符合 定制 策略 。 


0 监控 用 户 行 为 : 文件 操作 < SB 的 使 用 、 网 卡 的 使 用 、 访 问 的 站 挟 等 是 否 符合 定 
制 策略 。 


。 终端 安全 系统 对 终端 主机 进 kang 发 现 终端 主机 的 安全 漏洞 
时 引导 或 目 动 对 终 问 用 户 进 行 修复 。 通 过 在 终 病 安全 系统 进行 策略 
的 设置 ， 检 查 相 应 的 内 容 。 


。 需要 检查 的 主要 内 容 有 : 


i 软件 黑白 
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。 可 以 提供 基于 Microsoft Windows、Linux 操 作 系 统 的 终端 主机 的 安全 策略 检查 功能 ， 对 终端 主机 
的 系统 配置 状况 、 安 装 的 软件 信息 、 屏 保 配置 、 本 地 宛 余 账号 等 进行 检查 ， 并 支持 对 操作 系统 
补丁 、Office 补 丁 、IE 补 丁 、SQL server 数 据 库 补丁 的 更 新 情况 进行 检查 并 自动 下 载 补 丁 ， 检 查 病 
毒 库 更 新 状态 。 


o 补丁 管理 : 检查 终 RA 
用 户 未 安 疙 指定 的 补 下 时 ， 终 端 代理 和 Web Agent 插 件 提供 自动 和 手动 两 种 方式 安 源 补丁 


O 


0 防 病 毒 软件 管理 : 检查 终端 主机 是 否 安放 指定 的 防 病毒 软件 、 防 病毒 软件 的 版 本 及 病毒 
库 的 更 新 周期 是 否 符合 要 求 。 


o 八 软件 黑白 名 单 : 在 终端 主机 上 检查 已 经 安装 的 软件 是 否 合法 ， 或 者 需要 强制 安装 的 软件 
是 否 尚 未 安装 。 

o 屏保 设置 : 检查 终端 主机 的 屏幕 保护 参数 设置 是 否 满足 安全 策略 的 要 求 ， 包 括 是 否 启 用 
屏幕 保护 功能 、 是 否 启 用 密码 保护 功能 以 及 屏幕 保护 启动 时 间 。 

o ”账户 安全 : 检查 Microsoft Windows 操 作 系 统 账户 的 密码 是 否 身 体 符 合 要 求 。 

o 其 他 可 检查 的 内 容 : 共享 文件 、 注 册 列 表 ， 共 享 打印 机 等 。 


。 终端 代理 文 持 在 如 下 两 个 阶段 执行 安全 策略 : 
0 在 代理 局 动 后 执行 安全 策略 ， 如 屏保 设置 是 否 符 合 规格 、 是 否 安 儿 必须 要 安 和 的 杀毒 软 
件 等 。 


0 在 终端 用 户 通 过 身份 认证 后 执行 安全 策略 ， 资 产 管 理 、 上 网 行为 的 管理 等 。 


终 病 用户 行 为 管 


终 闹 安全 系统 可 提供 基于 终端 的 员工 行为 官 理 功 能 ， 目 的 在 于 提醒 
终端 用 户 在 使 用 终端 主机 时 遵守 企业 制定 的 行为 规范 ， 通 过 规范 员 
工 的 行为 来 提高 内 网 安全 管理 的 能 
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监控 U5B 移 动 存储 以 管理 员 预 设 的 USB 存 储 设备 的 访问 控制 策略 开放 终端 用 户 对 USB 存 
储 设备 的 访问 权限 ， 并 记录 终端 用 户 访 问 USB 存 储 设备 的 日 志 。 


监控 终端 主机 是 否 采 用 DHCP (Dyriamic Host Configuration Protocol) 方式 获取 IP 地 址 。 
监控 终端 用 户 是 否 非 法 连 入 Internet。 

监控 屏幕 拷贝 策略 能 够 确保 机 密 电 子 文档 (例如 DWG 图 片 、Al 图 片 或 DOC 文 档 ) 不 会 
被 终端 用 户 通过 “PrintScreen 键 规 取 屏 幕 非法 保留 或 传播 。 

监控 访问 站 点 ， 通 过 配置 网 站 的 URL (Uniform _ Resource Locator) 地 址 禁止 终端 用 户 访 
问 某 些 网 站 八 或 允许 终端 用 户 访 问 某 些 网 站 。 

监控 终端 主机 的 网 卡 连接 状态 和 无 线 网 卡 ， 并 提供 茶 用 无 线 网 卡 功 能 。 


监视 终端 用 户 在 终端 主机 的 本 地 硬盘 (不 包括 映射 网 络 驱 动 器 中 的 文件 和 远程 共享 的 
文件 ) 进行 的 文件 操作 。 


安全 豆 略 相关 概念 








策略 规则 策略 规则 策略 规则 


提示 : 场所 和 网 纹 议 域 的 区 别 
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策略 模板 是 耕 干 策略 的 集合 。 为 了 审计 不 同 终端 主机 的 安全 状况 和 终端 用 户 的 行为 ， 


策略 模板 与 父 策略 模板 是 相对 的 ， 可 以 把 公司 的 策略 定义 为 父 模板 ， 部 门 在 继承 公司 
策略 的 基础 上 ， 编 辑 部 门 的 策略 。 策 略 模板 在 5 引用 或 继承 父 策 略 模板 时 只 能 以 策略 为 单位 ， 
不 能 以 策略 规则 为 单位 进行 继承 。 策 略 模板 主要 分 检查 类 策略 、 监 控 类 策略 和 上 自 定 义 策 略 。 
而 补丁 模板 和 代理 策略 模板 是 独立 于 策略 模板 外 的 另 一 种 模板 ， 补 丁 模板 关注 的 是 给 指定 
组 织 下 发 和 安 丢 补 于 ， 一 般 情况 下 需 与 策略 模板 中 的 补丁 策略 进行 联动 实现 ; 而 代理 策略 
模板 是 提供 给 终端 代理 进行 局 部 参数 配置 的 模板 ， 如 授权 给 示 些 组 织 终端 强制 终端 防 生 载 、 
茶 止 终端 傈 生 密 码 、 终 峭 客 码 策略 、 远 程 协助 和 么 止 终端 修改 密码 等 策略 。 


场所 是 指 终端 用 户 使 用 东 种 方式 接 入 受 控 网 络 办 公 时 的 终 站 环境 。 随 肴 IT 信息 化 在 企 
业 的 重要 性 越 来 越 高 ， 终 端 用 户 的 办 公 场 所 越 来 越 多 样 化 ， 有 些 员工 在 公司 内 办 公 ， 有 些 
员工 在 家 里 办 公 ， 而 有 些 员 工 长 期 出 差 ， 办 公 地 点 不 确定 。 同 时 ， 终 端 用 户 接 入 网 络 的 方 
式 也 各 有 不 同 ， 例 如 : 通过 局 域 网 、 无 线 网 络 、VPN 等 方式 接 入 。 在 进行 策略 管理 时 ， 如 
果 不 考虑 终端 用 户 的 场所 ， 将 可 能 导致 在 不 同 场所 下 终端 用 户 不 能 正常 接 入 受 控 网 络 办公 。 
基于 这 种 原因 ， 引 入 了 场所 概念 以 适应 不 同 应 用 环境 ， 终 端 代理 默认 只 文 持 缺 省 场所 。 缺 
省 场所 是 指 没 有 定义 使 用 场合 的 场所 ， 表 示 不 区 分 终端 用 户 的 使 用 场合 。 当 按 场所 进行 策 
略 管理 业务 时 ， 请 根据 业务 需求 联系 广 商 定制 场所 文件 。 





主机 补丁 管 


。 人 补丁 管理 功能 ， 帮 助 终端 用 尸 解决 系统 漏洞 修复 工作 ， 提 高 
企业 终端 主机 的 安全 水 平 ， 降 低 !T 系 统 维护 成 本 。 
。 外 丁 党 理 功 能 


、 “Windows、Linux 操 作 系 统 补丁 
上 
支持 那些 补丁 。SQL2005、1E 浏 览 器 、Office 补 丁 等 


“补丁 信息 列表 


、 六 太 抽 杰 
外 丁 状态 的 舍 看 。 补 丁 部 署 情况 列表 


、 “补丁 的 自动 下 载 
丁 的 部 署 和 分 发 
外 部 省 入 “补丁 分 布 式 分 发 
人 
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补丁 管理 功能 ， 帮 助 终端 用 户 解决 系统 漏 酒 黎 复工 作 ， 提 高 企业 终端 主机 的 安全 水 平 ， 
降低 IT (Information Technology) 系统 维护 成 本 。 


。 补丁 党 理 的 主要 功能 如 下 : 


口 


Microsoft Windows 操 作 系 统 补 丁 、Microsoft SQL Server 数 据 库 补 丁 、Microsoft 
Internet Explorer 补 下、Microsoft Office 补 丁 ， 以 及 Linux 补 丁 。 


目 动 下 载 补 本 TSM 管 理 器 能 够 自动 从 微软 网 站 下 载 补 丁 〈 人 允许 服务 器 通过 代理 
连接 互联 网 )、， 支 持 从 上 级 管理 器 同步 补丁 。 

提供 补丁 信息 列表 。 给 出 从 微软 同步 的 补丁 信息 列表 ， 包 括 补 本 名称 、 补 丁 严重 
程度 、 补 本 是 否 部 署 、 补 丁 发 布 时 间 。 对 于 某 些 补丁 提供 补丁 的 漏洞 摘 述 等 信息 


O 


补丁 部 署 情况 列表 。 对 于 要 求 部 署 的 每 一 个 补丁 ， 查 看 补丁 的 部 署 情 况 ， 包 括 发 
现 未 部 署 该 补丁 的 终端 主机 数 和 已 经 部 署 了 该 补丁 的 终端 主机 数 。 对 于 未 部 署 该 
补丁 的 终端 主机 ， 查 看 终端 主机 列表 ， 便 于 管理 员 查 找 未 部 署 补 丁 的 终端 主机 和 
实施 管理 。 

提供 补丁 下 载 历史 记录 。 提供 补丁 下 载 的 历史 记录 ， 便 于 管理 员 查 看 以 往 的 补丁 
下 载 情况 。 

分 布 式 补丁 分 发 。 人 允许 配置 多 合 FTP 服 务 器 ， 设 置 其 中 一 合 为 主 FTP 服 务 器 ， 其 他 


的 为 镜像 FTP 服 务 器 。 多 合 FTP 服 务 器 之 间 上 自动 实现 同步 ， 人 允许 管理 员 配 置 同步 周 
期 。 


人 本 党 理 沉 程 


。 相关 概念 : 
1、 补 丁 特征 库 
2、 知 识 库 号 
3、 补 丁 级 别 
4、 特 殊 补丁 
5、 例 外 补丁 
6、 补 丁 模板 


7 
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有 三 种 Microsoft Windows 补 丁 管理 方式 : (4 使 用 系统 自 有 的 补丁 下 载 和 分 发 功能 ， 
与 操作 系统 补丁 检查 策略 联动 完成 补丁 检查 ; 2) 使 用 微软 WSUS 系 统 的 补丁 下 载 和 分 发 功 
能 ， 与 操作 系统 补丁 检查 策略 联动 完成 补丁 检查 ; 3) 不 提供 补丁 下 载 和 分 发 功能 ， 操 作 
系统 补丁 检查 策略 独立 完成 补丁 检查 。 


Microsoft Windows 补 于 管理 与 Microsoft Windows 补 丁 检查 策略 之 间 既 有 联系 又 有 区 别 ， 
他 们 均 能 检查 终端 主机 是 人 否 已 经 安 狗 指定 的 Microsoft Windows 操 作 系 统 补 丁 ， 不 同 点 在 于 : 
Microsoft Windows 补 丁 检查 策略 重 在 检查 终端 主机 是 否 安装 Microsoft Windows 操 作 系 统 的 
补丁 ， 并 且 能 够 与 栓 查 结果 对 终端 主机 进行 接 入 控制 。 当 终端 主机 未 安装 指定 的 Microsoft 
Windows 操 作 系 统 补 丁 时 禁止 终端 主机 接 入 受 控 网 络 ， 而 不 是 协助 终端 用 户 目 动 安 装 
Microsoft Windows 补 丁 。 在 这 种 情况 下 ， 管 理 员 必须 配置 Microsoft Windows 补 丁 检查 策略 
与 人 Wicrosoft Windows 和 丁 管 理 联动 ， 或 者 与 WSUS 联 动 才 能 实现 自动 安装 Microsoft 
Windows 补 丁 ， 否 则 ， 终 端 用 户 只 能 手工 下 载 并 安装 补丁 才能 消除 违规 。 


相关 概念 : 1) 补丁 特征 库 ， 是 指 包 含 Microsoft Windows 操 作 系 统 补 丁 相 关 信 息 的 文 
件 ， 方 便 终 端 安 全 系统 获取 各 个 补丁 在 微软 网 站 下 载 的 URL 地 址 ， 并 且 提 取 补 丁 的 详细 信 
且 。 补 丁 特征 库 一 般 为 “wsusscn2.cab'” 文件 ; 2) 知识 库 号 ， 是 指 微 软 为 解决 Microsoft 
Windows 操 作 系 统 发 现 的 问题 而 发 布 的 文章 的 编号 ， 一 个 知识 库 号 可 代表 一 个 操作 系统 补 
丁 ; 3) 补丁 级 别 ， 是 指 该 补丁 修正 的 缺陷 对 Microsoft Windows 操 作 系 统 自 身 形 成 安全 威 
胁 的 影响 程度 ; 4) 特殊 补丁 ， 是 指 在 终端 安全 系统 从 微软 冒 方 网 站 下 载 Microsoft 
Windows 补 丁 时 ， 需 要 优先 下 载 的 补丁 ; 5) 例外 补丁 ， 是 指 不 需要 终端 代理 或 Web Agent 
插件 在 终端 主机 检查 是 否 已 经 安 靶 的 Microsoft Windows 操 作 系 统 


USB 移 动 存储 设备 管理 


。 移动 存储 设备 种 类 越 来 越 丰 富 ， 如 各 类 硬盘 、 存 储 卡 、 手 机 
、 数 码 相 机 等 ， 在 便利 信息 存储 的 同时 ， 也 对 企业 信息 安全 
审 来 了 挑战 。 


sd 
无 法 控制 外 来 法 保证 内 Bb 


移动 存储 设备 用 举 怠 企 江 没 汪 


丢失 后 导致 的 


的 随意 接 入 0 








法 保证 数据 
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。 企业 信息 安全 面临 的 挑战 : 


0 无 法 控制 外 来 移动 存储 设备 的 随意 接 入 。 外 来 移动 存储 设备 随意 通过 终端 主机 接 
入 企业 网 络 ， 市 走 机 窗 数 据 YK 而 且 移 动 存储 设备 携 市 的 病毒 容易 感染 终端 主机 。 


0 无 法 保证 内 部 移动 存储 设备 丢失 后 导致 的 信息 外 泄 。 移 动 存储 设备 未 进行 任何 安 
全 保护 ， 企 业 保存 重要 信息 的 存储 设备 外 出 丢失 后 导致 重要 信息 外 泄 。 因 无 法 对 
存储 设备 使 用 进行 授权 控制 ， 企 业 普 通 存 储 设备 内 部 丢失 后 无 法 保证 不 航 随 意 访 
问 而 导致 信息 外 泄 。 


0 无 法 保证 数据 的 安全 交换 。 移 动 存储 设备 不 做 任何 控制 ， 无 法 解决 移动 存储 设备 
企 内 外 网 间 、 安 全 等 级 不 同 的 网 络 交换 时 容易 导致 数据 外 泄 的 问题 。 

0 病毒 快速 营 延 。 未 进行 移动 存储 设备 免疫 处 理 ， 容 易 导致 U 盟 病毒 在 企业 网 中 传 
播 。 


USB 千 理 


a 一 = 
革 储 介质 有 搜 以 
、 
SN 
品 ~、 
、 


随意 使 用 USB 存 储 设备 禁用 ( 非 指定 ) 存储 类 USB 设 备 
随意 向 USB 存 储 设备 拷贝 资料 强制 USB 存 储 只 读 模 式 


意 操作 USB 存 储 设 备 内 文件 监控 USB 存 储 设备 文件 操作 行为 
UsB 存 储 设备 内 文件 泄密 。 ”| 和 33》 | 实现 UsB 存 储 设备 内 文件 加 密 | 
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支持 只 茜 用 USB 存 储 设备 ， 既 允许 使 用 USB 己 标 /键盘 之 类 的 非 存储 设备 ， 而 对 于 U 副 
/SB 硬盘 /USB 光 驱 之 类 的 存储 设备 完全 禁用 。 或 只 禁用 未 注册 USG 存 储 设备 ; 


支持 USB 设 备 只 读 探 制 ， 既 允许 使 用 WSB 非 存储 设备 ， 以 及 U5B 和 存储 设 备 ， 对 于 USB 和 存储 
设备 ， 只 人 允许 读 操 作 ， 茜 止 写 操作 ; 


提供 USB 设 备 文件 操作 的 监控 能 力 ， 能 够 识别 并 且 记 录 文 件 操 作 。 


外 部 设备 


随意 使 用 外 来 光盘 禁用 及 监控 光驱 设备 
随意 刻录 企业 资料 “ “| 禁用 及 监控 光驱 刻录 功能 


随意 使 用 电脑 外 设 禁用 及 监控 外 设 接口 
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监控 光驱 策略 ， 不 既 可 以 监控 普通 光驱 设备 的 使 用 ， 还 可 以 监控 刻录 光驱 的 使 用 ; 


系统 设备 (如 打印 机 、 蓝 牙 、 红 外 、5SD/MMC 探 制 器 等 ， 通 过 监控 这 些 系统 外 设 可 防 
止 信 息 资 产 泄露 的 可 能 。 


全 设计 思想 概述 


2.1 终端 安全 技术 概述 
2.2 身份 认证 
2.3 接 入 控制 
2.4 安全 认证 
2.5 业务 授权 与 审计 


Policy center 系统 简介 


终 病 安全 系统 设计 
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本 节 主 要 介绍 实现 终端 安全 所 使 用 的 技术 。 


业务 系统 授权 
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业务 系统 资源 的 业务 授权 目前 主要 支持 软件 SACG、802.1X 交 换 机 、Portal 网 天 和 硬件 
SACG， 其 中 采用 的 实现 机 制 是 基于 User 的 Ac 既 UCL。 终 端 用 户 只 能 通过 身份 认证 和 安全 
认证 后 ， 将 会 获取 系统 授予 的 访问 权限 策略 (UCL) 。 


业务 审计 


制定 终端 适度 安全 目标 
制定 业务 审计 报表 策略 
落实 推广 终端 安全 策略 


A 部 门 
强制 安装 补丁 





通过 输出 各 种 日 志 信息 以 及 报表 信息 对 业务 进行 审计 。 


珊 


设计 思想 概述 


Policy center 系统 简介 


终 痛 安全 系统 设计 
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本 节 主 要 介绍 华为 终端 安全 系统 Policy Centers 


Policy center 简介 


为 了 解决 企业 内 部 网 络 官 理 失 探 的 问题 ， 保 障 企业 内 部 网 络 
的 畅通 、 终 端 主 机 的 安全 和 公司 信息 数据 的 安全 ， 实 现 企业 
网 络 安 全 建设 的 目标 ， 华 为 公司 推出 了 新 一 代 终 端 安全 产品 


Policy center。 


Mb HUAWEI Policy Center 欢迎 使 用 Policy Center 


用 户 名 ;: | 


密 得 


http: /fwww.huawel.com 
版 权 所 有 合 华为 技术 有 限 公 司 2006-2013。 保留 三 切 梭 利 。 
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华为 策略 管理 中 心 Policy Center 提供 统一 的 策略 引擎 ， 在 整个 组 织 内 实施 统一 访问 策 
略 (有 线 、 无 线 ， 内 网 ， 外 网 一 体 化 ) 小 实现 基于 用 户 、 设 备 类 型 、 资 产 类 型 、 接 入 时 间 
、 接 入 地 点 、 接 入 万 式 的 认证 和 授权 x 满足 企业 接 入 认证 多 层次 、 泛 终端 援 入 的 需求 ; 同 
时 提供 全 生命 流程 的 访客 管理 , ,给 访客 提供 一 个 随时 随地 上 网 的 空间 ， 提 高 访客 工作 效率 
， 提 升 企业 品牌 形象 ， 降 低 IT 运 维 的 压力 ; 丰富 的 安全 策略 ， 提 升 终端 安全 等 级 ， 阻 止 不 
安全 的 终 冰 以 及 不 满足 企业 安全 策略 的 终端 接 入 网 络 提升 终端 的 安全 性 ， 符 合 企 业 的 管控 
策略 ， 提 升 整体 的 信息 安全 水 平 。 


Policy Center 系 统 初 始 账号 : admin 密码 : Admin@123 


Policy Center 系 统 组 成 


SM: 安全 管理 器 — = 池 
: 容 和 村 | 管理 中 心 ” 污 
ep TE 一 一 第 说 .srwan 
儿 人 1 

SACG: 安 全 准 入 控制 网 关 

SA: 安全 代理 


ee 一 一 一 一 一 一 一 一 一 一 


建站 $n ， 认 证 后 域 府 : 认证 后 域 


ca ee 


(Core Network ,1 (Core Network 
C2 ' Bs 


' 一 所 BP 和 名 5 
SACG ” 转 了 SC my . 仿 病 天 服务 器 
’ ] 修复 文件 服务 器 | | .9 a 


A 省 必 必 性 必 时 必 B 省 
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接 下 来 我 们 来 看 一 下 Policy Center 终 新 安全 窟 理 的 系统 组 成 ,SM 和 SC 构成 Policy Center 


服务 器 部 分 。 


。 管理 中 心 : 适用 于 分 级 部 署 组 网 方案 ， 安 装 在 总 部 ， 主 要 提供 分 级 管理 功能 ， 接 管 位 
于 下 级 的 安全 管理 器 节点 。 


。 SM: 作为 系统 的 核心 管理 服务 器 ， 管 理 多 个 SC; SM 采用 B/S 染 构 ， 系 统管 理 员 可 通 
过 Web 界 面 配 置 和 修改 用 户 信息 、 访 问 权 限 和 策略 等 ， 并 完成 报表 输出 


。 SC: 作为 与 SA 交互 的 控制 点 ， 是 系统 管理 功能 的 实施 者 。 完 成 用 户 身 份 认证 、 安 全 策 
略 下 发 和 软件 下 发 等 任务 。 并 与 802.1X 或 SACG 联 动 在 完成 员 份 认证 和 安全 策略 检查 
后 ,开放 端口 或 匹配 ACL 规 则 授权 用 户 访问 网 络 资产 。 


。<SA: ` 安 表 于 客户 的 PC 机 上 ， 回 服务 器 获取 安全 策略 参数 ， 根 据 这 些 参数 执行 本 地 计算 
机 的 安全 策略 检查 ;， 实 施 监 探 终 端的 行为 ， 并 且 把 审计 的 结果 上 报 服务 器 ， 作 为 审计 
的 证 据 。 


。 SACG: 是 公司 电信 级 防火 墙 硬 件 平 全 上 开发 的 专用 的 准 入 控制 网 和 天， 是 实现 硬件 网 关 
准 入 控制 方式 的 核心 设备 


右 图 中 显示 了 安全 准 入 控制 网 天 SACG 方 式 的 拓扑 结构 。 据 专业 的 en 
建议 ， 对 网 络 内 部 终端 和 公共 可 访问 的 服务 器 到 Internet 或 其 他 不 可 信 网 络 的 外 出 流量 都 
应 该 进行 过 滤 ， 以 阻止 黑客 和 蠕虫 的 “ 抓 钧 ”攻击 。 SAcG 对 终端 的 所 有 上 行 流量 进行 过 过 
滤 ， 将 网 络 分 为 .… 可 信 、 非 受信 和 DMZ(Untrusted ,trusted 和 DMZ) 三 个 域 ， 用 户 在 没有 通 
过 吴 份 认证 和 安全 检察 前 只 能 访问 DMZ 即 爱 限 的 认证 前 域 ， 通 过 后 才能 基于 用 户 角色 开放 
相应 可 以 访问 的 认证 后 域 ， 提供 有 效 的 内 网 接 入 保护 。 


Policy center 产 品 结构 特点 


/ey 
aS ~ 


”建立 网 络 准 入 安全 接 入 控制 ”访问 控制 
控制 机 制 终 痛 安全 管理 安全 检 碍 
补丁 党 理 ”安全 修复 
终端 用 户 的 行 
为 管理 
软件 分 发 和 资 


一 一 人 人 


上 产 和 党 理 
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Policy center 基 于 代理 为 企业 提供 安全 接 入 控制、 终端 安全 管理 、 人 补丁 绾 理 、 终 问 用 大 
的 行为 管理 、 软 件 分 发 和 资产 管理 六 大 功能 。 其 核心 思想 是 建立 网 络 准 入 控制 机 制 ， 基 本 
要 素 是 安全 检查 、 访 问 控制 和 安全 修复 。 有 效 控制 网 络 日 新 增多 的 接 入 点 ， 包 括 企 业 员 工 
、 外 部 访客 、 合 作 伙 伴 和 临时 雇员 等 对 网 络 的 访问 ， 发 现 并 隔离 市 有 威胁 的 终端 主机 ， 提 
升 网 络 防 御 安 全 威胁 的 能 


Policy Center 与 网 络 接 入 控制 设备 配合 ， 可 以 为 企业 网 络 提供 网 络 接 入 控制 功能 和 访 
客 管理 功能 。PolicyNCenter 文 持 多 种 类 型 的 网 络 接 入 控制 设备 ， 包 括 WLAN 的 ACLAP 设 备 、 
华为 的 Portal 交 换 机 “通用 的 标准 802.1X 交 换 机 ， 以 及 华为 的 SACG 网 络 接 入 控制 网 关 等 。 

Policy Center 支 持 多 种 类 型 的 接 入 设备 ， 包 括 Windows PC、Linux PC、Andriod 和 
lbhon&ipad 等 设备 。 其 中 对 于 Windows PC 和 Linux _ PC， 如果 这 些 设 备 部 署 和 NAC 客 户 端 ， 
可 以 在 网 络 准 入 控制 的 基础 上 ， 提 供 更 多 的 功能 ， 包 括 终端 的 合 规 性 检查 、 移 动 存 储 介质 
管理 以 及 补丁 管理 、 软 件 分 发 等 。 





Policy center 的 主要 功能 


补丁 管理 
软件 分 发 


Policy Center 


安全 规则 
管理 


a 


策略 
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Policy center 的 主要 功能 特性 包括 : 


口 


接 入 控制 策略 : 文 持 普通 账号 \MAC 地 址 和 移动 证 书 等 身份 认证 方式 ， 实 现 对 企 
业 员 工 、 外 部 访客 、 合 作 伙伴 和 临时 雇员 等 对 网 络 访问 的 控制 ， 保 护 业 务 系统 安 
全 。 


安全 规则 管理 ， 全 面 评估 终端 主机 的 安全 状态 ， 强 制 隔离 不 安全 终端 主机 ， 确 保 
|T 策 略 人 遵从， 降低 风险 。 终 端 安 全 状态 检查 主要 包括 检查 是 否 安装 各 种 补丁 ， 是 
否 安装 企业 要 求 必须 安装 或 禁止 安装 的 软件 ， 终 喘 主机 安装 的 防 病毒 软件 是 否 符 
合 要 求 ， 是 否 局 用 ARP 防 护 功 能 等 。 在 检查 结果 的 基础 上 ， 提 供 个 性 化 的 修复 建 
议 ， 协 助 安 六 各 类 补丁 和 必 备 的 软件 。 丰 富 而 全 面 的 安全 策略 ， 提 供 基于 部 门 和 
用 户 角 色 灵 活 的 安全 策略 控制 ， 强 制 终端 主机 遵循 管理 员 统 一 制定 的 安全 策略 ， 
协助 管理 员 评 估 终 端 主机 的 安全 状态 ， 消 除 终端 存在 的 安全 隐患 ， 以 便 主 动 降低 
终端 主机 的 安全 威胁 ， 保 障 终端 用 户 合理 使 用 网 络 资产 。 

补丁 管理 。 支持 与 WSUS (Windows Server Update Services) 无 颖 集成 ， 强 制 、 
及 时 、 安 全 和 准确 的 低 测 系统 漏洞 ， 帮 助 终端 主机 及 时 更 新 补丁 ， 避 人 免 由 系统 漏 
洞 市 来 的 安全 威胁 ， 可 以 对 linux 操 作 系 统 锌 丁 进行 管理 如 Ubuntu 9/10/11/12 、 
Canaima 3 、Debian 6 操作 系统 。 


资产 管理 。 收集 终端 人 资产 信息 ， 跟 踪 资 产 变 更 状况 ， 上 报 资 产 变 更 报表 ， 资 产 
变更 后 告警 ， 且 能 够 产生 资产 报表 。 


文 持 将 软件 手工 或 按 计 划分 发 到 终端 主机 ， 并 文 持 按 部 门 、 按 操作 系统 、 按 IP 地 
址 段 进行 分 发 。 


Policy center 系 统 部 署 介绍 


1 一 2000， 无 备份 硬件 服务 器 1: 管理 器 + 控制 器 + 配置 数据 库 |1 侣 硬件 服务 器 
+ 日 志 数 据 库 


后 
2 人 台 硬 件 服务 器 
后 


3 台 硬 件 服 务 器 
: 控制 器 + 见证 服务 数据 库 + 日 


: 管理 器 + 日 志 数 据 库 + 见证 服 |4 台 硬件 服务 器 


: 控制 器 
:控制 器 + 配置 数据 库 + 备 份 日 | .NK 


: 控制 器 + 镜像 配置 数据 库 
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有 天 数据 备份 的 知识 点 ， 在 系统 可 靠 性 章节 进行 详细 介绍 。 


Policy center 系统 简介 
. 终端 安全 系统 设计 
4.1 终 端 安全 系统 设计 概述 
4.2 组 网 方案 设计 


4.3 可 靠 性 设计 
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终 闻 安 全 系统 设计 思路 回顾 


膏 1 池 


阻止 隔离 修复 授权 用 户 监控 行为 
非 授 权 用 户 不 安全 用 户 访问 范围 审计 取证 
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一 体 化 防御 体系 主要 由 5 大 要 素 组 成 , 即 身 份 认 证 、 准 入 控制 、 安 全 认证 、 业 务 授权 
、 业 务 审计 。 其 中 身份 认证 是 一 体 化 防御 体系 的 基础 ， 准 入 控制 是 保障 ， 安 全 认证 和 业务 
授权 是 手段 ， 而 业务 审计 是 实现 一 体 化 防御 体系 的 PDCA 前 提 条 件 。 各 个 要 素 在 一 体 化 防 
御 体 系 中 各 持 其 职 、 分 工 合 作 ， .形成 让 个 整体 以 构建 完整 的 终端 安全 体系 染 构 。 


备注 : 信息 资源 即 包 括 应 用 服务 资源 ， 也 包括 信息 文档 资源 ; 


接 入 控制 


软件 SACG 


辐 


802.1X 交 换 机 


Intranet Porfal 网 天 


,于 
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Internet 


A 
出 差 用 户 





准 入 控制 扩 术 最 主要 的 作用 是 把 非 授权 终 桨 用 户 阻 挡 在 企业 网 络 之 外 ， 而 把 授权 终端 
用 户 〈 通 过 身份 认证 和 安全 认证 的 绿色 终端 ) 效 进 来 。 
。 软件 3ACG/ 终 端 互 访 控 制 : 是 内 置 在 终端 Agent 上 的 一 个 组 件 ; 
。 标准 802.1X 交 换 机 : 支持 业界 流行 802.1X 交 换 机 ， 如 华为 、H3C、CISCO; 
。 PORTIAL 网 天: 华为 交换 机 的 3300\5300 系 列 交 换 机 (软件 版 本 V100R006) ， 能 够 作 
为 PORTAL 网 关 ~ 实施 准 入 控制 ， 
。 硬件 3ACG’\ 系 统 可 以 与 全 系列 华为 中 低 端 防火 墙 联 动 (如 USG 系 统 ) 。 





sa 


A 


We | 


开局 业务 访问 


安全 服务 器 


J 2 
修复 服务 器 i 
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。 SACG 接 入 认证 的 原理 和 流程 : 


口 


用 户 终端 接 入 企业 标准 网 络 时 ,SA 代理 会 与 SC 控制 服务 器 建立 一 个 SSL 通 道 ， 
用 于 保护 代理 SA 和 服务 器 之 间 的 通信 ; 


接 下 来 ,SA 与 服务 器 协 商 认 证 的 参数 以 及 License 控 制 信息 ; 


Liscense 验 证 后 ; 抠 和 ee SA 根据 采用 的 身份 认证 类 型 (用 户 名 + 口 
令 /AD 域 集成 认证 等 ) ， 将 用 户 名 /口令 信息 上 报 至 服务 器 进行 身份 认证 ; 如 果 
te at Me le Ran 4)， 将 与 域 管理 服务 器 联动 ,使 用 域 
系统 作为 统一 第 三 方 认 证 源 ,用 户 无 须 再 次 输入 用 户 名 /口令 即 可 认证 ; 


吴 份 完 认证 成 功 后 ，SA 癌 服务 器 请 求 更 新 安全 策略 ， 获 得 最 新 的 策略 信息 列表 ， 
根据 策略 执 本 地 安全 策 略 检 查 , 最 后 将 # 果 上 报 SC 

SC 收 到 安全 认证 的 结果 ， 判 断 是 否 符合 策略 规定 的 接 入 要 求 ， 如 果 满 足 ， 则 与 
SACG 联 动 ， 通 过 用 户 的 身份 属性 匹配 ACL 规 则 ,把 对 应 的 终端 从 认证 前 域 切 换 
到 认证 后 域 ， 实 现 最 小 授权 访问 的 目的 ; 


呵 安 全 设计 思想 概述 
终 闹 安全 拉 术 
Policy center 系统 简介 
.终端 安全 系统 设计 
4.1 终 端 安全 系统 设计 概述 
4.2 组 网 方案 设计 


4.3 可 徘 性 设计 
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域 管理 服务 器 
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。 相关 概念 的 介绍 : 
0 ”认证 后 域 : 该 区 域 放置 企业 核心 信息 资产 ， 通 过 身份 认证 和 安全 检查 的 终端 才 可 
以 访问 的 资源 。 
0 ”隔离 域 : 该 区 域 放 置 袜 下 * 病毒 修复 服务 器 ， 当 终端 通过 了 身份 认证 但 是 安全 检 
查 有 问题 时 ， 可 以 访问 该 区 域 设备 进行 检查 修复 。 
0 认证 前 域 :该 区 域 放 置 终端 安全 系统 ， 包 括 SC、SM、 数据 库 等 ， 终 端 可 以 自由 
访问 该 区 域 设 备 。 
该 万 到 在 并 点 部 署 代理 软件 、 企 业内 部 路 由 器 芳 侧 挂 安全 接 入 网 和 天， 在 部 署 Secospace 
服务 器 就 可 实现 Secospace 的 全 面 功能 。SACG 建 议 采 用 旁 挂 方式 ， 不 会 影响 现 有 网 络 拓扑 
结构 ，、 设 用 于 中 小 型 规模 的 网 络 。 


分 布 式 部 署 万 案 


管理 中 心 > 区 


认证 前 域 


内 Agent SF SA 
Agent S&B és Agent Agent SB Ss Agent 
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与 小 型 组 网 相 比 ， 网 络 结构 没有 什么 变化 .得 是 大 型 组 网 中 ， 在 Secospace 系 统 服务 器 
方面 ， 考 虑 到 系统 性 能 的 问题 ， 一 般 会 采用 参 个 5C 服 务 器 组 成 服务 器 集群 ， 每 个 SC 服务 器 
下 有 效 地 提高 了 系统 的 性 能 。 同 时 在 一 个 SM 
上 统一 负责 对 SC 服务 器 进行 集中 管理 发 可 以 只 使 用 一 个 安全 修复 服务 器 ， 因 为 所 需要 更 新 
的 安全 信息 和 补丁 都 是 一 es 另外 ， 系 统 采用 统一 的 数据 库 集群 ， 所 有 的 SC 都 与 该 数据 
库 集群 通信 ， AS 表面 提 过 ， 虽 然 采 用 多 个 SC， 但 是 数据 是 统一 
的 。 在 大 型 组 网 中 ，SACG 通 弟 会 采用 双 机 热 备 分 的 方式 ， 人 主 备 切换 
时 能 够 保证 业务 不 中 断 。 


硬件 SACG 接 入 万 式 - 劳 挂 


修复 服务 器 ， 


了 ， 隔离 域 


身份 认证 和 安全 检查 都 通过 流量 
身份 认证 通过 和 安全 检查 没 通过 流量 
进行 身份 认证 和 安全 检查 的 流量 
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防火 墙 与 终端 安全 系统 联动 ， 连 接 到 控制 器 ,~ 问 控 制 器 请 求 同 步 认证 前 域 的 规则 和 认 
证 后 域 的 规则 ， 把 规则 转换 为 ACL。 其 中 认证 前 域 对 应 1 条 ACL 其 编号 为 3099， 每 个 受 控 域 
对 应 1 对 ACL。 受 控 域 对 应 的 1 对 ACL 由 permit 语 句 和 deny 语 句 组 成 ， 分 别 对 应 允许 访问 受 控 
域 和 禁止 访问 受 控 域 。 


。 从 交换 机 或 路 由 器 上 接收 数据 流 ， 并 检查 进入 安全 接 入 控制 网 关 的 报 文 。 根 据 报 文 对 
应 的 |P 地 址 的 认证 状态 确定 下 一 步 如 何 处 理 : 
。 如 果 该 | 地址 未 经 过 身份 认证 ， 安 全 接 入 控制 网 关 将 会 使 用 认证 前 域 对 应 的 ACL 
对 报 文 进行 处 理 。 该 条 ACL 与 管理 员 在 SM 管理 器 上 配置 的 认证 前 域 相对 应 ; 
po 如 果 该 P 地 址 已 经 通过 身份 认证 ， 但 未 通过 安全 认证 ， 硬 件 安全 接 入 控制 网 关 将 
该 报 文 从 认证 前 域 切换 至 隔离 域 ， 并 根据 隔离 域 对 应 的 ACL 对 报 文 进行 处 理 。 
。 如 果 该 |P 地 址 同时 通过 身份 认证 和 安全 认证 ， 硬 件 安全 接 入 控制 网 关 将 该 报 文 从 
认证 前 域 或 隔离 域 切换 至 认证 后 域 ， 并 根据 认证 后 域 对 应 的 ACL 对 报 文 进行 处 理 


O 


硬件 SACG 接 入 方式 -直通 


修复 服务 器 


了 ， 隔离 域 


一 一 > ”身份 认证 和 安全 检查 都 通过 流量 
一 一 > ”身份 认证 通过 和 安全 检查 没 通过 流量 
_ ”> 进行 身份 认证 和 安全 检查 的 流量 
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该 方案 的 优点 部 署 简单 ， 易 于 维护 ， 缺 点 是 可 能 有 单 点 故障 风险 ,不 适用 于 网 络 染 构 已 
经 固定 的 场景 ， 防 火 墙 的 接 入 控制 的 原理 与 芳 挂 方案 相同 。 


802.1X 接 入 方式 


业务 服务 器 1 业务 服务 器 2 ! 


一 > 身份 认证 和 安全 检查 都 通过 流量 
一 > 身份 认证 通过 和 安全 检查 没 通过 流量 
一 > 进行 身份 认证 和 安全 检查 的 流量 
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802.1x 交 换 机 的 主要 功能 是 对 终端 主机 进行 接 入 控制 。 通 过 端口 控制 扩 术 ， 保 证 只 
通过 身份 认证 的 终端 主机 才能 接 入 受 控 网 络 , “防止 未 经 授权 的 终端 主机 接 入 受 控 网 络 。 终 
端 安全 服务 器 对 应 于 IEEE802.1x 的 认证 服务 器 系统 ， 用 户 接 入 层 设备 则 实现 IEEE802.1x 的 接 
入 控制 单元 ，IEEE802.1x 的 用 户 接 人 六 系统 集成 在 代理 中 。 


接 入 控制 单元 的 每 个 物理 端口 内 部 有 受 控 端 口 和 非 受 控 问 口 等 逻辑 划分 。 非 受 控 端 口 
始终 处 于 双 回 连通 状态 从 主要 用 来 传递 EAPOL 协 议 帧 ， 可 保证 随时 接收 用 户 接 入 系统 发 出 
的 认证 EAPOL 报 文 个 受 探 端 口 只 有 在 认证 通过 的 状态 下 才 打 开 ， 用 于 传 圳 网 络 资源 和 服务 


。 802.1x 交 换 机 对 终端 主机 进行 接 入 控制 时 : 

oN 各 终端 用 户 已 经 通过 身份 认证 和 安全 认证 ， 则 终端 用 户 能 够 访问 认证 后 域 。 

0 硬 终 端 用 户 已 经 通过 身份 认证 而 未 通过 安全 认证 ， 则 终端 用 户 能 够 访问 隔离 域 。 
。 终端 安全 系统 与 802.1x 交 换 机 联动 的 方式 有 : 

0 基本 的 802.1x 交 换 机 接 入 控制 

0 ”基于 动态 VLAN 的 802.1x 交 换 机 接 入 控制 

0 ”基于 动态 ACL 的 802.1x 交 换 机 接 入 控制 


软件 SACG 接 入 方式 


身份 认证 和 安全 检查 都 通过 流量 
身份 认证 通过 和 安全 检查 没 通 过 流量 
进行 身份 认证 和 安全 检查 的 流量 
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软件 SACG 又 成 为 主机 防火 墙 ， 通过 用 尺 账 吕 对 终 闹 进行 接 入 控制 ， 与 硬件 SACG 相 比 
， 部 署 简单 ， 易 于 维护 ， 可 以 有 效 的 控制 主机 之 间 的 互 访 。 





Portal 网 关 接 入 方式 


业务 服务 器 1 业务 服务 器 2 | 


一 > 身份 认证 和 安全 检查 都 通过 流量 
一 > 身份 认证 通过 和 安全 检查 没 通过 流量 
一 > 进行 身份 认证 和 安全 检查 的 流量 
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要 判断 终端 主机 的 状态 是 否 安全 ， 终 端 用 户 的 行为 是 否 威胁 网 络 安全 ， 要 视 策略 的 执行 结果 而 
定 。 通 过 在 Portal 认 证 报 文中 携带 安全 检查 结果 ， 交 换 机 将 安全 检查 结果 作为 终端 主机 接 入 受 控 
网 络 的 判断 因素 之 一 


口 


口 


口 


如 果 终 端 用 尸 未 能 通过 身份 认证 ) 则 终端 用 尸 只 允许 访问 不 受 限 的 网 络 资源 。 

如 果 终 端 用 户 通 过 身份 认证 ， 但 安全 检查 出 现 严 重 违规 ， 并 且 管 理 员 启用 严重 违规 拒绝 
终端 主机 接 入 网 络 估 则 终端 主机 和 被 隔离 ， 只 人 允许 访问 有 限 的 网 络 资源 帮助 消除 违规 信息 
， 无 法 访问 受 限 的 网 络 资产。 

如 果 终 端 用 局 通 过 号 份 认证 ， 并 且 管 理 员 未 局 用 严重 违规 拒绝 终端 主机 接 入 网 络 ， 则 人 允 
许 终端 用 户 访 问 受 限 的 网 络 资源 。 

如 果 终 端 用 户 同 时 通过 身份 认证 和 安全 检查 ， 则 允许 终端 用 户 访 问 受 限 的 网 络 资产 。 


Portal 网 管 对 终端 主机 进行 接 入 控制 : 


口 


各 终端 用 户 已 经 通过 身份 认证 和 安全 认证 ，Raduis 服 务 器 下 发 后 域 ACL 给 Portal 网 关 ， 则 终 
端 用 户 能 够 访问 认证 后 域 。 

若 终 端 用 户 已 经 通过 身份 认证 而 未 通过 安全 认证 ，Raduis 服 务 器 下 发 隔离 域 ACL 给 Portal 网 
关 ， 则 终端 用 户 能 够 访问 隔离 域 。 


为 了 完成 安全 检查 任务 ， 终 端 主机 必须 安装 代理 或 Web Agent 揪 件 。 在 身份 认证 通过 而 安全 检查 
不 通过 的 情况 下 ， 终 端 主机 将 会 被 隔离 ， 修 复 违 规 后 再 次 尝试 认证 。 同 时 通过 身份 认证 和 安全 
检查 的 终端 主机 才能 访问 网 络 中 的 受 限 网 络 资源 。 

如 果 不 安装 代理 或 Web Agent 插 件 ， 只 使 用 Web 客 户 端 ， 则 Portal 认 证 只 具有 身份 认证 功能 ， 不 
具备 安全 检查 功能 。 故 在 使 用 Web 客 户 端 进行 认证 的 情况 下 ， 无 法 达到 隔离 安全 检查 出 现 严重 
违规 的 终端 主机 。 终 端 用 户 通过 身份 认证 后 不 执行 安全 检查 ， 直 接 获 取 权 限 访问 受 限 网 络 资源 


oO 


呵 安 全 设计 思想 概述 
终端 安全 扩 术 
Policy center 系统 简介 
.终端 安全 系统 设计 
4.1 终 师 安 全 系统 设计 概述 
4.2 组 网 方案 设计 


4.3 可 靠 性 设计 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 





WW HUAWEI 


系统 方案 可 靠 性 保障 简 述 


心跳 协议 


。 服务 器 负载 均衡 。 硬件 SACG 可 用 性 设计 
数据 库 镜 像 热 备 。 硬件 SACG 逃 生 通 道 
FTP 负 载 均衡 。 软件 SACG 逃 生 通 道 
数据 备份 和 恢复 
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系统 方案 可 靠 性 保障 共 分 为 业务 层 系 统 和 控制 层 系统 ， 这 2 个 系统 的 可 靠 性 保障 有 部 
分 实现 是 采用 心跳 协议 ， 且 在 示 些 情况 下 需 做 好 可 用 性 和 安全 性 之 间 的 平衡 。 


a 文 持 服务 器 负载 均衡 、 数 据 库 镜像 热 备 、 ee 数据 备 
份 和 恢 控制 层 系 统 方 面 , ` 文 持 硬 件 SACG 双 机 热 备 、 硬 件 SACG 逃 生 通 道 、 软 件 
AC le 和 


。 逃 生 通 道 : 它 通过 业务 层 系 统 和 控制 层 系统 之 间 的 心跳 协议 进行 定期 交互 ， 若 在 指定 时 
间 内 未 收 到 心跳 报 文 ， 控 制 层 系统 将 开户 逃生 通道 功能 ， 以 支持 业务 的 可 用 性 ， 但 降低 
了 安全 性 ; 


。 失效 转移 :在 服务 器 负载 均衡 环境 ， 一 般 情 况 下 所 有 服务 器 共同 承担 终端 用 户 的 交互 业 
务 , \ 当 菏 中 菏 人 服务 器 发 生 故 障 后 ， 终 问 用 户 将 进行 失效 转移 功能 ， 以 保障 业务 的 连续 
性 ; 

。 数据 备份 和 恢复 : 在 所 有 数据 库 均 发 生 故 障 的 情况 下 ， 可 以 利用 恢复 工具 把 之 前 备份 的 
数据 恢复 回来 ， 比 如 用 户 信息 、 密 铀 、 策 略 模板 等 。 


服务 怖 负载 均衡 可 靠 性 体 障 


。 资源 池 机 制 
。 权重 机 制 
。 异地 容 灾 
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服务 器 负载 均衡 有 2 种 主要 的 实现 机 制 : 资源 闻 机 制 和 权重 机 制 。 资 源 池 机 制 即 是 所 
有 服务 器 者 是 平等 ， 终 端 用 户 将 获取 所 有 服务 器 群 |P 地 址 ， 然 后 根据 算法 随机 一 合 服务 器 
做 为 后 续 业 务 的 交互 对 象 ; 而 权重 机 制 而 是 对 每 台 服 务 器 设置 一 个 值 (0-100 之 间 )， 终 端 用 
户 连 接 茶 合 服务 器 的 概率 与 权重 有 闪 守 权重 越 大 ， 终 端 用 户 将 与 其 进行 业务 交互 的 机 会 越 
大 ; 反之 ， 权 重 越 小 ， 终 端 用 入 将 与 其 进行 业务 交互 的 机 会 越 小 。 因 此 ， 权 重 设置 相同 的 
机 制 与 资源 池 机 制 一 致 。 


异地 容 灾 : 服务 器 负载 均衡 可 根据 企业 对 可 用 性 的 特别 要 求 ， 提 供 异 地 容 灾 功 能 。 比 
如 当 A 区 域 某 合 服 务 器 发 生 故 障 ， 终 端 用 户 的 业务 交互 将 全 部 转 周 其 它 服务 器 。 但 如 果 其 
已 服务 器 也 无 法 文 撑 当前 所 有 终端 用 户 的 业务 请 求 〈 性 能 出 现 瓶 颈 ) 或 A 区 域 所 有 服务 器 
均 发 生 故 障 人 (或 网 络 中 断 ) ， 这 时 终端 用 户 可 把 业务 交互 请 求 发 同 B 区 域 指定 的 备用 业务 
层 服务 器 。 


数据 库 镜 像 热 备 可 靠 性 保障 


。 数据 一 致 性 同步 
。 系统 失效 转移 
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数据 库 弹 像 热 备 可 靠 性 保障 ， 通 过 主 数据 库 “ 辜 像 数 据 库 、 见 证 数据 库 服务 器 实现 数 
据 一 致 性 同步 和 系统 失效 转移 。 所 有 应 用 系统 在 同一 时 间 只 与 其 中 一 台数 据 库 服务 器 进行 
业务 交互 ， 即 与 主 数据 库 服 务 器 ， 当 主 数据 库 服 务 器 发 生 故 障 后 ， 所 有 应 用 系统 将 把 业务 
切换 到 镜像 数据 库 服务 器 ， 而 此 时 镜像 数据 库 服务 器 也 提升 为 主 数据 库 服务 器 。 


数据 一 致 性 同步 : 在 应 用 系统 写 入 数据 至 数据 库 时 ， 首 先 先 把 数据 写 入 主 数据 库 ， 然 
后 再 写 入 镜像 数据 库 , 和 在 完成 说 像 数 据 库 写 入 后 ， 才 把 写 入 成 功 信 息 反 馈 给 应 用 系统 ， 
而 保障 主 数 据 库 服务 器 与 镜像 数据 库 服 务 器 数据 始终 统一 : 


系统 失效 转移 : 在 主 数据 库 正 党 运行 中 ， 应 用 系统 只 与 主 数据 库 服务 器 进行 业务 交互 
。 当 主 数据 库 服 务 器 发 生 故 障 后 ， 应 用 系统 将 目 动 转移 与 镜像 服务 器 进 和 f ar 而 此 
时 镜像 数据 库 服务 器 也 提升 为 主 数据 库 服务 器 。 


见证 数据 库 是 独立 于 主 数据 库 、 镜 像 数 据 库 的 第 3 个 Microsoft SQL Server 2005 数 据 库 
实例 。 见 证 数据 库 用 来 判断 在 什么 情况 下 需要 进行 数据 错误 恢复 。 


在 主 数据 库 和 见证 数据 库 同 时 朋 溃 的 情况 下 ， 镜 像 数据 库 是 不 允许 访问 的 。 这 时 管理 
员 需 要 先 停 止 镜像 数据 库 ， 然 后 将 镜像 数据 库 的 数据 库 文件 和 数据 库 日 志文 件 剪 切 到 其 他 
地 方 ， 接 着 启动 镜像 数据 库 ， 在 删除 镜像 数据 库 后 ， 再 通过 附加 文件 的 方式 将 数据 库 文件 
和 数据 库 日 志文 件 恢复 至 数据 库 中 。 

数据 库 镜 像 必 须 具备 三 从 人 硬件 服务 器 ， 每 人 台 硬 件 服务 器 均 安 沪 了 Microsoft SQL Server 


2005，Microsoft SQL Server 2005 在 三 台 硬 件 服务 器 上 的 安装 路 径 完 全 一 致 ， 并 且 安 装 了 
Microsoft SQL Server 2005 SP3 补 丁 。 


FTP 负 和 载 均衡 可 靠 性 保障 





在 业务 系统 资源 保障 部 分 ， 需 通过 获取 补 李 《软件 等 来 实现 企业 信息 安全 基线 要 求 。 
需 获 取 以 上 信息 最 好 的 途径 主要 有 子 网 下 载 和 FTP 下 载 2 种 主要 方式 ， 在 终端 安全 方案 中 ， 
主要 通过 提供 子 网 下 载 镜像 FTpP 下 载 、 主 盯 P 下 载 3 种 手段 来 保障 有 效 地 信息 获取 ， 即 任何 
一 种 手段 发 生 问题 ， 均 有 其 它 手段 进行 补充 ， 以 保障 业务 开展 的 连续 性 。 


数据 备份 和 恢复 可 靠 性 保障 


。 备份 周期 9 备份 介质 全 备份 方式 《 检验 周期 


业 
务 
数 
据 
故 
Ba 
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终端 安全 系统 方案 的 数据 主要 包括 部 门 组 织 、“ 用 户 帐 号 、 安 全 策略 、 密 钥 、 文 档 权 限 
、 审 计 报 表 等 ， 且 存储 在 主流 的 数据 库 系 统 , ` 如 MS SQL 2005 中 。 以 下 将 以 MS SQL 2005 
做 力 样 本 进行 阐述 。 确 要 保障 数据 备份 的 正常 运行 ， 需 开局 SQL Server Agent 目 局 动 功能 ， 
便于 在 操作 系统 局 动 时 ， 其 也 处 于 局 动 状 态 。 


。 在 数据 恢复 方面 ， 业 务 数 据 改 障 主要 存在 以 下 5 项 : 
0 机 械 损坏 : 计算 机 的 各 种 部 件 (包括 磁 盟 ) 都 存在 机 械 故 障 可 能 性 ; 
0 ” 电 产 故障 指 UPS5 无 法 保护 的 异常 电源 故障 ; 
0 目 然 灾害 : 地 震 、 水 灾 、 火 灾 或 其 他 原因 造成 的 严重 故障 ; 
n、 销 误 使 用 : 应 用 程序 以 及 服务 程序 在 使 用 中 的 中 途 故 障 ， 导 和 致 数据 不 完整 ; 
0 ”恶意 候 坏 : 一 些 恶意 破坏 者 对 数据 库 执 行 非法 的 复 改 数据 、 删 除数 据 操作 。 


硬件 SACG 可 靠 性 设计 


。 可靠 性 实现 机 制 
o 双 机 热 备 
o 负载 均衡 


CG 4 。 天 键 技术 


| Infernet o_ OSPF 协议 
\ / 
“ 9 会 话 同步 


Be 





在 负载 均衡 情况 下 ， 需 配置 ”会 话 快速 备份 米 实现 会 话 能 及 时 问 另 一 合 网 天 同步 。 


硬件 SACG 逃 生 通 道 


。 可 用 性 与 安全 性 平衡 
。 性 能 与 安全 性 平衡 
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。 可 用 性 与 安全 性 平衡 
。 在 可 用 性 比 安全 性 更 重要 场景 , 逃生 通道 是 比较 有 效 的 解决 方案 。 硬 件 SACG 定 期 
与 业务 层 服务 器 保持 心跳 协 说 ; 当 在 一 定 周期 内 与 业务 层 服务 器 心跳 报 文中 断 ， 
硬件 SACG 将 开启 逃生 通道 开关 〈 放 开 所 有 业务 ， 不 对 终端 用 户 的 接 入 进行 控制 ) 
， 以 保障 业务 的 连续 性 。 
。 性 能 与 安全 性 平衡 
。 为 了 保证 所 有 的 终端 用 户 能 正常 地 进行 业务 操作 ， 业 务 层 服务 器 的 数量 要 能 支撑 
现 有 终端 用 户 的 业务 请 求 性 能 ， 避 免 因 性 能 问题 (业务 层 服务 器 故障 达到 一 定数 


量 ， 将 使 整体 业务 层 咽 应 请 求 受 影响 ) 导致 部 分 终端 用 户 无 法 通过 认证 ， 从 而 业 
务 中 断 。 因 此 ， 当 有 效 的 业务 层 服务 器 达到 一 定数 量 后 ， 硬 件 SACG 将 开局 逃生 通 
道 功能 。 


备注 : 当 业 务 层 服务 器 恢复 工作 后 ， 逃 生 通 道 将 关闭 ， 终 端 安 全 系统 将 又 处 于 安全 控 
制 之 下 。 


软件 SACG 逃 生 通 道 


。 可 用 性 与 安全 性 平衡 
。 性 能 与 安全 性 平衡 
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。 可 用 性 与 安全 性 平衡 : 
0 在 可 用 性 比 安全 性 更 重要 场景 , \ 逃 生 通 道 是 比较 有 效 的 解决 方案 。 软 件 SACG 定 期 
与 业务 层 服务 器 保持 心跳 协商 * 当 在 一 定 周期 内 与 业务 层 服务 器 心跳 报 文中 断 ， 
软件 SACG 将 开局 逃生 通道 开 天 ( 放 开 所 有 业务 ) ， 以 保障 业务 的 连续 性 。 


。 性 能 与 安全 性 平衡 
。 为 了 保证 所 有 的 终端 用 户 能 正常 地 进行 业务 操作 ， 业 务 层 服务 器 的 数量 要 能 支撑 
现 有 终端 用 户 的 业务 请 求 性 能 ， 避 免 因 性 能 问题 (业务 层 服 务 器 故障 达到 一 定数 


量 、 将 使 整体 业务 层 咽 应 请 求 受 影响 ) 导致 部 分 终端 用 户 无 法 通过 认证 ， 从 而 业 
务 中 断 。 因 此 ， 当 有 效 的 业务 层 服务 器 达到 一 定数 量 后 ， 软 件 SACG 将 开局 逃生 通 
道 功 能 。 


。 备注 : 当 业 务 层 服务 器 恢复 工作 后 ， 逃 生 通 道 将 关闭 ,终端 安 全 系统 将 又 处 于 安全 控制 
之 下 。 


终端 安全 设计 思想 ? 
接 入 控制 技术 有 哪些 ? 

Policy center 系统 主要 功能 ? 

如 何 保证 终端 安全 系统 的 可 靠 性 ? 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 





。 在 终端 安全 系统 中 FTP 服 务 器 的 功能 和 作用 是 什么 ? 
。 可 靠 性 中 SACG 双 机 热 备 和 负载 均衡 如 何 部 署 及 配置 ? 


。 硬件 SACG 接 入 控制 方式 部 署 终端 安全 系统 ， 终 问 通 过 身份 及 
安全 认证 后 可 以 访问 隔离 域 吗 ? 
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练习 是 


。 判 断 是 
1，Web 网 页 认证 可 以 对 终端 进行 安全 认证 。 


， 可 以 有 效 控制 终端 间 互 访 的 是 那 种 接 入 控制 方式 ? 
A. 硬 件 SACG 
B. 软 件 SACG 
C.802.1X 接 入 控制 
D.Portal 网 天 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 81 以 多 HUAVWEI 


习题 与 答案 : 
o 判断 题 : Web 网 页 认证 可 以 对 终端 进行 安全 认证 。 
答案 : 错误 


0 单 选 题 : 可 以 有 效 控制 终端 间 互 访 的 是 ? 
A. 硬件 SACG 
B. 软 件 SAKG 
C.802.4X 接 入 控制 
D.Portal 网 关 


答 架 : B 


Thank you 


Www.huawel.com 





HC120320003 
终 帆 安全 系统 的 安 闭 
和 部 路 





课程 后 ， 您 将 能 够 : 

哨 安 全 系统 的 安 痛 ; 

映 安全 系统 的 部 署 方 宁 及 要 求 ， 
叫 安 全 


/次 


系统 各 种 场景 的 部 署 操 作 ， 
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本 章 介 绍 了 终 凯 安全 系统 的 安 狐 。 
点 


o _ Policy center 的 部 署 


缚 目录 


终 问 安全 系统 的 安 沪 
Policy Center 系 统 配 置 


终 毁 安全 系统 部 署 
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本 万 主要 介绍 终端 安全 系统 的 安 锈 部 署 


终 问 安全 系统 的 安 沪 
1.1 安 六 规划 

1.2 数据 库 的 安装 

1.3 Policy center 的 安装 
1.4 NAC Adgent 的 定制 
Policy Center 系 统 配 置 
终 痛 安全 系统 部 署 
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本 万 主 要 介绍 终端 安全 系统 的 安 衣 部 署 
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单 服务 器 集中 式 部 署 方案 说 明 : 
服务 器 安装 组 件 
0 ” 数据库， 管理 服务 器 SMe 控制 服务 器 SC、RADIUS 服 务 器 、FTP 服 务 器 
建议 : 
o 建议 单 服务 器 集中 组 网 时 ， 被 管理 终端 的 数量 小 于 2000 
0 ” 当 终 并 数 量 大 于 2000 终 端 时 ， 网 络 的 规模 已 经 比较 大 ， 对 可 靠 性 的 要 求 会 更 高 ， 
虽然 一 个 控制 服务 器 SC 能 够 管理 1 万 终端 ， 但 是 从 可 靠 性 的 角度 考虑 ， 不 推荐 使 
用 该 方案 
局 限 性 : 
o 无 法 提供 数据 库 热 备 功能 
o 只 能 部 署 一 个 控制 服务 器 9C， 无 法 提供 控制 服务 器 失效 转移 功能 ， 当 控制 服务 器 
SC 发 生 故 障 的 时 候 ， 无 法 提供 终端 的 身份 认证 和 准 入 控制 等 基本 服务 





oJ} 


:前 域 : SC/SM 
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两 合 服务 器 集中 式 部 署 方案 说 明 : 


软件 安 疼 
0 服务 器 1 安 儿 组 件 : 省 理 服务 器 SM、 探 制服 务 器 SC 、FTP 服 务 器 


务 
0 服务 器 2 安 沪 组 件 : 控制 服务 器 SC、RADIUS 服 务 器 、 数 据 库 DB、FTP 服 务 器 
建议 : 
0 ”建议 双 服 务 器 集中 组 网 时 ， 被 管理 终端 的 数量 小 于 10000 


E 当 次 端 数量 大 于 10000 终 端 时 ， 网 络 的 规模 已 经 非常 大 ， 对 可 靠 性 的 要 求 会 更 高 
， 虽 然 一 个 控制 服务 器 SC 能 够 管理 1 万 终端 ， 两 个 服务 器 能 够 支撑 20000 终 端 ， 但 
是 从 可 靠 性 的 角度 考虑 ，1 万 终端 以 上 的 网 络 不 建议 使 用 该 方案 


局 限 性 : 


0 无 法 提供 数据 库 热 备 功能 
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三 台 服 务 器 集中 式 部 署 方 案 说 明 : 
软件 安装 
o 服务 器 1 安装 组 件 : 管理 服务 器 SM、 控 制服 务 器 SC 、 见 证 数据 库 、FTP 


务 务 占 
0 服务 器 2 安装 组 件 沾 控制 服务 器 SC、FTP、 主 数据 库 
务 及 务 


器 3 安 释 组件 : 探 制服 务 器 SC、FTP、 镜 像 数 据 库 


o、 当 终端 数 大 于 20000 终 端 时 ， 没 有 现成 的 方案 ， 需 要 市 场 技术 与 研发 一 同 评估 后 
提供 


| 北京 总 部 : 归属 地 3 


深圳 分 支 机 构 | | 《和男 支 机 构 : 
| 归属 地 1 - 剧 cL \、 肝 属地 2 
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该 种 部 署 场景 是 在 区 分 地 域 的 负载 分 担 基 础 卡 ， 增 加 备用 控制 器 ， 确 保 当 示 个 归属 地 
的 所 有 控制 器 出 现 故 障 无 法 连接 时 ， 客 忆 端 能 够 连接 备用 控制 器 完成 认证 。 为 了 提高 控制 
器 的 可 靠 性 ， 便 于 管理 员 对 辖区 范围 内 的 控制 器 进行 维护 和 管理 ， 管 理 器 为 每 合 控 制 器 定 
义 位 置 属性 ， 称 之 为 归属 地 ， 用 于 表示 控制 器 所 在 的 位 置 ,地 址 池 是 指 由 管理 器 统一 管理 
用 一 个 归属 地 的 所 有 主 用 控制 器 和 备用 控制 器 的 一 种 机 制 。 当 该 归属 地 的 控制 器 出 现 工作 
负 奏 过 大 或 者 出 现 故障 时 汶 管 理 器 将 接 入 控制 业务 自动 切换 至 同一 归属 地 的 其 他 可 用 探 制 
器 ， 确 保 网 络 不 会 被 中 断 。 未 分 配 任何 控制 器 的 归属 地 称 之 为 无 效 归 属地 。 如 果 代 理 选 择 
的 归属 地 为 无 效 归 属地 ， 则 终 站 用 户 无 法 接 入 受 控 网 络 。 


当 出 现 故障 的 控制 器 中 的 一 合 恢复 正常 后 ， 客 户 端 立 即 从 连接 备用 控制 器 切换 到 连接 
恢复 正常 的 控制 器 


《举例 ; 某 公司 总 部 在 北京 ， 在 上 海 、 深 圳 设置 了 分 支 机 构 。 为 了 实现 负载 分 担 和 容 灾 
备份 ， 各 个 分 支 机 构 部 署 了 多 台 控 制 器 ， 并 在 北京 部 署 了 备用 控制 器 SC1， 则 在 部 署 时 
管理 员 需 要 在 管理 器 完成 以 下 工作 : 添加 各 个 分 支 机构 包 括 的 所 有 控制 器 (包括 备用 
控制 器 ) 。 

。 创建 归属 地 北京 、 上 海 和 深圳 。 

。 在 各 个 归属 地 的 “SC 地 址 池 ” 中 添加 各 归属 地 的 控制 器 ， 并 在 “ 备 SC 地 址 池 ” 中 
添加 备用 控制 器 。 在 归属 地 北京 的 “SC 地 址 池 ” 中 添加 分 支 机 构 北京 包括 的 所 有 
控制 器 ， 并 在 “ 备 SC 地 址 池 ” 中 添加 备用 控制 器 。 

。 部 署 完成 后 ， 各 地 员工 在 进行 认证 时 ，NAC Agent 客 户 端 会 从 对 应 的 归属 地 的 地 
址 池 中 随机 选择 一 台 控 制 器 进行 连接 。 当 某 个 归属 地 的 所 有 控制 器 出 现 故 障 不 可 
用 时 ， 客 户 端 会 自动 切换 到 备用 控制 器 进行 认证 。 


磁盘 分 区 及 安 季 路 径 规 划 
”服务 器 磁盘 分 区 规划 
推荐 使 用 3*3006 的 硬盘 (或 者 5*1466 的 硬盘 ) ， 做 RAID5 


”C5 盘 。 。“[ 盘 的 大 小 =1006， 文件 格式 为 NTFS 


”和 瘟 。 ”Pp 盘 的 大 小 等 于 剩余 磁盘 空间 ， 文件 格式 为 NTFS 


”软件 推荐 安 疙 路径 


SQL Server 2008 A 


Policy Center 软 件 默认 路 径 
FTP SERVER D: \FTP 
设备 扫描 器 默认 路 径 
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里 


为 了 防止 单 块 硬盘 损坏 导致 数据 丢失 ， 按 照 服 务 器 标准 配置 ， 可 采用 5 块 硬盘 组 成 
RAID5 (Redundant Array of Independent,Disks) 方案 ， 每 块 硬盘 146GB， 分 成 2 个 磁盘 分 区 。 


终 冰 安全 系统 的 安 疼 
1.1 安 沪 规划 

1.2 数据 库 的 安 表 

1.3 Policy center 的 安装 
1.4 NAC Agent 的 定制 
Policy Center 系 统 配置 


终 闹 安全 系统 部 署 
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本 广 主 要 介绍 终 新 安全 系统 数据 库 安 沪 。 


安 才 数据 库 准 备 


。 检查 硬件 服务 器 的 软 硬 件 配置 是 否 符合 最 低 要 求 : 
o OS: Windows Server 2003 标 准 版 \ 企 业 版 ， 已 经 安装 SP2 补 丁 或 者 
Windows Server 2008 标 准 版 \ 企 业 版 


o CPU: 2*E5504 
口 内 存 : 4G 


。 SQL SERVER 2005 光 碟 / 程 序 和 SQL SERVER 2005 SP3 光 碟 / 程 序 
。 确保 1433 端 口 处 于 未 被 占用 状态 
o 如 果 1433 端 口 已 让 其 他 应 用 程序 占用 ， 先 停止 该 应 用 程序 
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推荐 使 用 Microsoft SQL Server 2005 或 者 Micresoft SQL Server 2008 数 据 库 作为 产品 的 
数据 存储 中 心 ， 我 们 将 介绍 Microsoft SQL Server 2005 标 准 版 (32 位 ) 的 安装 过 程 。 
Window Server2003 的 安装 在 本 教材 中 不 做 介绍 。 


数据 库 安 滩 - 必 备 组 件 安 北 


> 1 


安装 必 备 租 件 
在 安装 SQL Server 之 前 安装 所 需 的 软件 组 件 。 


Y .NET Framework 2.0 

YY .HET Framework 2.0 - 语言 包 

VMicrosoft SQL Hative Client 

Nicrosoft SQL Server 2005 安装 程序 支持 文件 


已 成 功 安装 所 需 的 组 件 。 
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安装 Microsoft SQL Server 2005 之 前 需要 安装 的 组 件 如 下 : Microsoft .NET Framework 
2.0、Microsoft .NET Framework 2.0 语 言 包 \ Microsoft SQL Server Native Client、Microsoft 
SQL Server 2005 安 装 程 序 支 持 文件 ， 尽 确保 Microsoft SQL Server 2005 能 够 顺利 安装 并 正常 
运行 . 





安装 程序 将 协助 您 安装 、 修 改 或 册 | 除 Wicrosoft SQL Server。 若 要 继续 ， 
请 单 击 “ 下 一 步 ”。 
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下 一 步 : 对 话 框 ， 要 求 输入 公司 名 称 、 用 启 备 称 、 以 及 产品 密 钥 ， 完 成 以 后 单 击 “ 下 


—_JIF”» 
人 


数据 库 安 释 (2) 


[ 忌 microsoft SQL Server 2005 安装 程序 


OD SL LT EE 


:二 
Ne 
已 工 





\ 
x 

cS 
< 
< 
< 
< 
< 


数据 库 安 狐 (3) 


。 配置 数据 库 账 号 
5 使 用 内 置 系统 账户 ， 选 择 “ 本 地 系统 - 
0 选择 “混合 模式 身份 验证 ”， 输 入 SA 的 口令 (SQL SERVER 不 允许 输入 @ 符 


C= ) 
Microsoft SQL S 2005 安装 程序 2005 安装 程序 


务 帐户 身份 验证 模式 
服务 帐户 定义 登录 时 使 用 的 帐户 ， 身份 验证 模式 指定 了 连接 SQL Server 时 使 用 的 安全 设置 。 





选择 此 系统 要 使 用 的 身份 验证 模式 。 





| 厂 为 每 个 服务 帐户 进行 自 定义 C) 





个 Windows 身份 验证 模式 册 ) 


C 混合 模式 (Windows 身份 验证 和 SQL Server 身份 验证 ) 但 ) 

















厂 SQL Server Agent (G) 
WS Analysis Services (A) 


z 帮助 oD | 《上 -和 步 @) |[T-swm >] WW | 帮助 0D | 
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。 需要 记 住 sa 密码 ， 在 后 续 安 六 Policy Center 时 需要 用 到 。 


数据 库 安 狠 (4) 


。 定义 排序 规则 ， 选 择 错误 可 能 会 导致 乱码 。 


Te SQL S 2005 安装 程序 


排序 规则 设置 
排序 规则 设置 定义 了 服务 器 的 排序 方式 。 


厂 为 每 个 服务 帐户 进行 自 定义 C) 


G 排序 规则 指示 符 和 排序 顺序 (0): 
Chinese PRC 90 
厂 二 进 制 - 码 位 
厂 区 分 假名 
厂 区 分 全 半角 


个 SQL 排序 规则 (用 于 确保 与 旧版 本 的 SQL Server 兼容 ) G) 








和 帮助 Qt) 《< 上 一 步 @) | | 下 一 步 QD) > 取消 
_ Ww | K+-s | | 
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。 设置 数据 的 排序 规则 。 无 论 是 在 中 文 操作 系统 还 是 英文 操作 系统 上 安装 Microsoft SQL 
Server 2005， 必 须 将 “排序 规则 指示 符 和 排序 顺序 ”设置 为 “Chinese_PRC_90"。 

。 将 “排序 规则 指示 符 和 排序 顺序 设置 为 “Chinese_PRC_90" 的 目的 在 于 避免 TSM 管 理 
器 产生 乱码 ， 而 取消 “区 分 大 小 写 ” 的 目的 在 于 避免 因 了 字段 大 小 写 导 致 TSM 管 理 器 的 报 
表 无 法 正常 显示 

。 单 击 下 一 步 ， 直 至 完成 安装 。 


完成 microsoft SQL Server 2005 安装 
安装 程序 已 配置 完 Microsoft SQL Server 2005 管 
se” 
家 大 革 涉 闪 尖 汲 辐 出现 的 任何 娃 训 的 信息 ， 请 参阅 安装 错误 日 志 。 单 击 “ 完 成 ”退出 安 





摘要 日 志 
交 入 Server A 的 服务 吕 人 四 的 四 二 和约 默认 情况 下 对 新 系统 禁用 某 些 功 


处 围 应 用 配置 器 工具 。 
Analysis Services 


@ 加 果 Analysis Services 已 从 SQL Server 2000 升级, 则 必须 使 用 SQL Server 
Management Studio 重新 处 理 所 有 多 锥 数据 集 、 准 度 和 挖掘 模型 。 


Reporting Services 
9 ”您 在 安装 过 程 中 指定 的 Reporting Services 安装 选项 决定 了 是 否 需 要 进一步 
的 配置 才能 访问 报表 服务 器 。 如 果 您 在 安装 时 使 用 了 默认 配置 ， 则 可 以 立即 


使 用 报表 服务 器 。 如 果 您 色 安 装 了 程序 文件 ， 则 必须 运行 Reporting Services 
配置 工具 来 部 署 报 表 服 务 器 。 


WE 1 





安 贸 完成 后 可 验证 安 六 是 否 成 功 ， 验 证 方法 在 受 片 中 不 多 做 介绍 ， 可 查看 实验 手册 。 


终 问 安全 系统 的 安 沪 
1.1 安 沪 规划 

1.2 数据 库 的 安江 

1.3 Policy center 的 安装 
1.4 NAC Agent 的 定制 
Policy Center 系 统 配 置 
终 闹 安全 系统 部 署 
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本 节 主 要 介绍 终端 安全 系统 的 安装 。 


安装 Policy Center (1) 


。 局 动 安装 
o 使 用 Adminisfrafor 登 录 操 作 系 统 


o 天 闭 所 有 正在 运行 程序 
o 从 发 货 光 碟 中 找到 Policy Center.exe， 运 行 Policy Center.exe 
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选择 安 波 语言 选择 语言 请 慎重 ， 这 里 的 选择 决定 了 整个 产品 部 署 完成 后 的 语言 类 型 。 
策略 管理 中 心 与 eight 融合 安 狗 ， 当 策略 管理 中 心 和 e9ight 同 机 部 署 时 基本 要 求 如 下 : 
D 操作 系统 : Microsoft Windows server 2008 R2 标 准 简体 中 文 或 英文 版 本 ，64 位 ， 
市 SP1 补 丁 
口 数据 库 : Microso 代 SQL Server 2008 R2 标 准 简体 中 文 版 或 观 文 版 ，64 位 ， 带 SP2 补 


本 


安装 Policy Center (2) 


。 选择 需 安 秋 的 组 件 


y 安全 管理 器 
F 安全 控制 器 


RADIUS 服务 器 
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。 根据 不 同 的 安 滚 规 划 进 行 组 件 的 安 沪 . 


安装 Policy Center (3) 


。 设置 服务 器 IP 地 址 


安全 管理 器 IF [172 20. 16. 131 -| 
安全 控制 器 IF [172 20, 16. 131 ”| 
RADIUS 服 务 器 IF ”|[172.20.16.131 到 
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当 管 理 器 和 控制 器 安 疹 在 同一 合 硬件 服务 器 时 ， 管 理 器 和 控制 器 使 用 相同 的 |P 地 址 。 
如 果 安 疙 管理 器 和 控制 器 的 硬件 服务 器 具有 多 块 网 卡 ， 请 在 下 拉 列 表 中 选择 安 六 管理 器 和 
控制 器 所 使 用 的 网 卡 。 


安装 Policy Center (4) 


。 配置 数据 库 参 数 
o 输入 数据 库 相 关 人 参数， 测试 数据 库 连 接 ; 
o 测试 连接 成 功 后 再 初始 化 数据 库 
o 推荐 最 小 内 存 为 1024MB， 最 大 内 存 4098MB 


ee 
Pr [= lx 


输入 SA 密码 要 与 安装 数据 库 时 
输入 的 的 密码 相同 


最 小 内 存 9) 1024 最 大 内 存 up) ose 法 加 商检 | 


7 会 键 比 ss 权 限 级 别 更 低 6 雪 所 库 管 理 员 * 
最 小 内 存 建议 设置 为 10248， 最 大 内 存 建议 设置 为 操作 系统 内 存 的 一 夺 * 


直上 - 步 |[ 守 "|] @ar | 
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此 处 sa 密码 需 与 数据 库 的 sa 密码 相同 。 


安装 Policy Center (5) 


。 安 流 FTP， 安 六 程 序 会 上 自动 检查 是 否 已 经 安 流 了 Filezilla， 如 果 没 
安 狠 ， 则 操 击 “ 安 六 FileZila” (已 经 安 流 的 情况 下 ，“ 安 并 
Filezilla” 的 按钮 不 可 以 操作 |) 


olicy Center 


2 
需 记 住 该 密码 ， 在 配置 
FTP 目录 D:\ftproot 浏览 | Policy Center FTP 服 务 器 
上 传 用 户 名 [ftpuplosa 是 需要 输入 


下 载 用 户 名 [ftpaownlosd 


上 :- 步 || 守 - 上 ;| @ir | 
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输入 上 传 及 下 载 密码 ， 需 要 事先 规划 好 。 


安装 Policy Center (6) 


。 配置 FTP， 设 置 FTP 用 户 名 和 口令 ， 在 “上 传 密码 ”和 “重复 密码 - 
中 输入 上 传 用 户 名 对 应 的 密码 ， 推 荐 的 密码 长 度 为 8byfe 一 12byte 
? 并 且 密 码 不 能 包含 @- 3 高 级 设置 默认 。 


检测 红 iFilezilla FTPF 服 务 器 未 云 装 。 


(允许 连接 服务 9 客户 水 目 。) 
(由 所 处理 器 承受 能 力 与 网 络 带 讽 设 置 。) 
2 ( 归 据 了 络 带 攀 设置 。 ) 


上 传 用 户 名 [ftpuplosa 俱 黎 查询 日 志 需 要 与 日 志文 件 占用 磁盘 空间 。 ) 


键 议 取 值 范围 为 60000 汪 60400。) 


取消 | 


人 争 上 - 步 || 窗 下 步 | @@ak | 
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高 级 参数 是 指 影 响 Policy Center 服 务 器 运行 性 能 的 参数 。 安 六 程序 默认 设置 了 FTP 服 务 
器 的 高 级 参数 ， 建 议 保持 默认 值 。 


安装 Policy Center (7) 


。 你 持 默认 值 ， 单 击 “ 下 一 步 ”， 开 始 安 和 管理 器 和 控制 
器 ， 如 下 图 正在 安 和 冯 管 理 器 和 控制 器 
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安装 Policy Center (8) 


。 安 交 完成 ， 单 击 “ 完 成 


完成 Poli cy Center 安 装 困 导 


Policy Center 已 经 在 您 的 系统 安装 。 


单 击 [ 完 成 ] 关 闭 此 向 导 。 
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缚 目录 


安全 系统 的 安 流 
安 丢 规划 
数据 库 的 安 沪 
Policy center 的 安装 
1.4 NAC Agent 的 定制 
Policy Center 系 统 配 置 
终 闹 安全 系统 部 署 
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本 万 主要 介绍 终端 代理 定制 。 


NAC Agent 代 理 定 制 (1) 


。 NAC Agent 代 理 定 制 ， 即 定制 终端 NAC Agent 安 装 回 导 ， 完 成 
定制 后 得 倒 NAC Agent.exe， 终 端 双击 该 程序 可 安装 Agent。 
o 从 发 货 光 碟 中 找到 NAC Agent Setup.exe 并 运行 。 


9 选择 安 浪 语言 。 


成 请 选择 定制 器 导语 言 


Lo jj [ce | 
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定制 NAC Agent 代 理 安装 程序 ， 为 管理 员 根据 网 络 环境 和 部 署 要 求生 成 代理 安装 程序 


提供 指导 。 


NAC Agent 代 理 定 制 《2 ) 


。 选择 定制 安 冯 程序 还 升级 程序 


请 选择 定制 类 型 
选择 定制 类 型 后 ， 点 击 [ 下 一 步 0)] 继 续 . .. 


辐 定制 Agent 升 级 程序 (适用 于 Windows 操 作 系统 ) 
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选择 定制 Agent 安 疙 程序 。 


NAC Agent 代 理 定制 (3) 


。 配置 5C 控 制 器 iP 地址 ， 即 定制 Agent 默 认 连 接 的 SC 地 址 。 


喜 了 AC Agent 定 制 向 导 


基本 信息 定制 
完成 基本 信息 定制 后 , 点 击 [下 一 步 0D)] 继 续 . . . 





sc 地 址 : [LI 
自 定义 客户 端 标题 : AC heent 
自 定义 客户 端 p60: [ 训 以 示 560》 .| 
说 明 : 自 定义 LDG0 格 式 要 求 为 高 度 59 ,宽度 不 小 于 2000 的 BP 图 片 。 


者 扩 采 栓 。 例 0 的 人 攻 双 对 史 们 科 冯 放 纪 扩 二 








。 注意 配置 控制 器 地 址 ， 完 成 定制 后 Agent 默 认 连 接地 址 为 1.1.1.2 控 制 器 进行 认证 。 


NAC Agent 代 理 定制 (4) 


802. 1Y 定 制 
完成 802. 1X 定 制 后 ， 点 击 [ 下 一 步 0D)] 继 续 . . . 


A 
加 启用 802. 1X 协 议 
忆 用 安全 :这 用 十 8021X 认 证 时 服务 器 根据 客户 油 
| 歧 果 向 六 统 机 下 发 不 同 YLAN ID 或 ACL， 放生 
六 
启用 无 线 802. 1X 协 议 Windows XPF SP2 以 上 操作 系统 ) 


了 Lp 
YE 1 poAT 下 中 
【再 FA WL LAT DA 


/4 


®) PEAP-NSCHAPY2 


PEAP-GIC 








选择 是 否 使 用 支持 802.1x 协 议 的 交换 机 作为 硬件 安全 接 入 控制 网 天 。 在 右 侧 的 单元 格 
中 的 是 或 否 右 侧 的 括号 打 勾 ， 并 根据 所 使 用 的 交换 机 类 型 选择 对 应 的 交换 机 。 





NAC Agent 代 理 定 制 (5) 


802. 1X 定 制 。 一 
完成 802.1X 定 制 后 ， 点 击 [ 下 一 步 0 ] 继 续 . 选择 协议 类 型 


802. 1X 协 议 类 型 
请 选择 默认 协议 类 型 : 
© 护 准 失控 录 这 用 了 了 终 出 主机 梧 和 的 交换 机 支持 YL 服 本 802 1xX 
y2 协 议 :】 终端 了 交 
2 愉 详 好 天 用 了 端 主机 接 入 的 交换 机 支持 Y2 版 本 802. 1X 协 


Huawei 3526 : 用 测 主 机 接 和 日 交 换 机 Hoerei 
Qul dway 3526| 孕 
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e 802.1X 协 议 类 型 : 
o。 使 用 V1 版 本 的 802.1x 协 议 
o。 使 用 V2 版 本 的 802.1x 协 议 
4。 使 用 HUAWEI QuidwaX'S3528 交 换 机 作为 硬件 安全 接 入 控制 网 关 
。 如 果 硬件 安全 接 入 网 关 来 用 支持 802.1x 协 议 的 交换 机 ， 请 根据 上 述 三 种 类 型 对 所 有 的 交 
换 机 进行 分 类 ,并 在 交换 机 贴 上 分 类 标签 : 
oO HUAWENQuidway S3526 交 换 机 
on 支持 802.1x 协 议 V2 版 本 的 交换 机 
o\ 支 持 802.1x 协 议 V1 版 本 的 交换 机 


NAC Agent 代 理 定 制 (6) 


生成 定制 程序 
正在 生成 定制 程序 ， 请 等 待 . . . 


解压 : IAAuthentication_r, dll 








WW huawel 


。 生成 NAC Agent 代 理 软 件 ， 以 上 都 是 在 Windews 操 作 系 统 完成 和 运行 的 Agent，NAC 
Agent 也 可 以 安装 在 linux 操 作 系 统 ， 完 成 检查 类 策略 和 监控 类 策略 ， 但 与 Windows 支 持 
的 种 类 不 同 。 


NAC Agent 安 装 (1) 


。 点 击 NAC Agent.exe， 选 择 安 装 语 言 ， 进 入 如 下 安装 回 导 ， 单 
击 “ 下 一 步 ” 完 成 安装 。 


本 于 使 用 MAC Agent V100R003C00 安 装 
器 


这 个 向 号 将 指引 你 完成 “NAC Agent" 的 安装 进程 。 
二 


| 单 击 [ 下 一 步 0)] 继 续 。 


WW Huawel 





。 NAC Agent.exe 默 认 存 放 路 径 是 CNNAC Agef 必 必需 注意 ，NAC Agent 的 安装 是 在 终端 主 
机 上 完成 的 。 


NAC Agent 安 装 (2) 


。 单 击 “完成 ”完成 NAC Agent 的 安装 。 








@ 目录 


终 病 安全 系统 的 安江 
Policy Center 系 统 配置 
2.1 License 管 理 


2.2 服务 器 配置 
终 病 配置 
终 师 安全 系统 部 置 
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本 节 主 要 介绍 终端 安全 系统 License 文 件 管理 6 


License 管 理 


。 License 文 件 用 于 控制 终端 安全 管理 业务 。License 文 件 需 要 向 厂家 申 
请 ， 如 果 没 有 License 文 件 ， 则 无 法 使 用 终端 安全 系统 提供 的 以 下 几 
种 业务 功能 : 

接 入 控制 功能 
安全 管理 功能 
USB 管 理 功能 
访客 管理 功能 
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。 License 文 件 控 制 以 下 功能 及 使 用 该 功能 的 用 局 数 。 


a 接 入 控制 功能 ， 包 括 “ 接 入 控制 策略 ”菜单 和 “用 户 与 终端 ”菜单 的 “设备 管理 
” 子 菜单 

p 安全 管理 功能 ， 包 括 \Y 安 全 规则 管理 ”、 “补丁 管理 ”、 “软件 分 发 ”和 “资产 
管理 ”菜单 。 

0 USB 管 理 功能 入 包括 “UsSB 管 理 和 “安全 规则 管理 ”菜单 。 

a 访客 管理 功能 ， 即 “用 户 与 终端 ”菜单 的 “访客 管理 ” 子 菜单 。 


申请 License 


获取 LAC 

o 在 发 货 附件 中 找到 License 授 权证 书 ， 从 License 授 权证 书 获取 LAC。 
获取 ESN 

o 运行 “ToolNGetESN.exe'" 文件 


| 咯 华为 GetESN 工 具 





B3E26D37B663D6ESA99287562803042255351A3B, rd 
B24F6ES1269A98DEFO, FEBO0E0BB9C5BA9CEB2EC992F102697FF7A46660BF,D 
p72BSCC2FCO837TOCE14F8CA9TCB7131BF2348 


Wm LWX64015 
登 网 络 适 配器 
全 Intel (R) 82579VY Gi gabit Network Comnection 
br Et Virtual WiFi Miniport Adapter 


GetESN 工 具 Y3.3 


虑 役 挤 胡 丰 内 信 2006-2013。 保 留 一 切 权利 。 
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。 管理 器 获取 License 的 方式 不 同 ， 则 需要 采集 的 ESN 对 和 象 也 会 有 所 不 同 : 
oO 如 果 管 理 器 的 License 由 管理 中 心 的 管理 员 统 一 分 配 ， 则 只 需 获 取 管理 中 心 的 ESN 
o 其 他 情况 由 管理 器 的 管理 员 单 独 申 请 并 上 传 License， 此 时 需要 获取 管理 器 的 ESN 
e。 由 于 ESN 与 服务 器 的 硬件 部 件 关 系 非 常 紧 密 ， 在 获取 ESN 后 请 不 要 随意 更 换 服 务 器 的 硬 
件 部 件 ， 否 则 会 导致 License 无 法 正常 使 用 。 
。 在 服务 器 的 人 硬件 部 件 出 现 故 障 后 ， 由 于 更 换 部 件 导 致 License 无 法 继续 使 用 时 ， 请 重新 
获取 ESN ; 联系 并 向 华为 技术 工程 师 反馈 ESN 和 LAC 以 便 重 新 申请 License。 


登录 Policy Center 


在 IE 浏览 器 地 址 栏 输入 http:/ “Policy center Server IP“ :8080 
初始 账号 : admin 密码 : Admin@123 








Wb huawel 3 全 忆 欢迎 使 用 Policy Center 


用 户 名 : admin 
害 们 ; eeeeeeeedl 


http:/ /www.huawei,com 
版 权 所 有 @ 华为 技术 有 限 公 司 2006-2013。 保 鲁 二 切 权 利 、 
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。 对 IE 浏览 器 版 本 及 设置 也 有 要 求 ， 具 体操 作 可 参照 产品 手册 。 


/NAN 


上 传 License 


第 一 步 : 上 传 License 


e 请 上 传 您 的 License 许 可 文件 


文件 路 径 ，|DADOCUmERE and SettingsVAdministrd| 天 单 击 : 确定 


© 
一 一 层 
- -和 | OD 四 
第 一 步 : 上 传 License 第 二 步 : 上 传 策略 包 


下 次 不 再 提示 
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。 官 理 器 的 License 为 “.DAT" 格 式 的 文件 。 当 管理 员 申 请 并 收 到 新 的 License 文 件 后 ， 通 过 
上 传 License 文 件 实现 开放 业务 权限 、 增 加 终端 用 户 并 发 连接 数 的 目的 。 


@ 目录 


终 凯 安全 系统 的 安 儿 
Policy Center 系 统 配置 


2.1 License 管 理 


2.2 服务 器 配置 
2.3 终 妆 配置 
终 遇 安全 系统 部 署 
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本 太 主 要 介绍 终 闹 安全 系统 服务 器 配置 。 


SC 二 置 


配置 路 径 : 系统 配置 >SC 配 置 ， 单 击 “ 增 加 ”设置 控制 器 的 名 
称 及 IP 地 址 。 

安全 管理 器 不 会 校 验 所 输入 的 IP 地 址 是 否 存在 或 安全 控制 器 
是 否 存活 。 管 理 员 在 为 归属 地 分 配 安全 控制 器 时 确保 安全 控 
制 器 可 用 即 可 。 


*SC 名 称 : ” 琛 圳 
=Jp 地 址 : | 10.27.208.135 实时 上 报 和 缓存 上 报 的 区 别 ? 
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控制 器 支持 将 违规 数据 实时 上 报 或 缓存 上 报到 数据 库 。 缓 存 上 报 方式 适用 于 终端 安全 
系统 部 署 采 用 分 布 式 组 网 的 场合 。 通 过 设置 在 业务 空闲 期 上 报 违规 数据 ， 能 够 避免 违规 数 
据 的 上 报 鼎 用 大 量 网 络 市 党， 影响 业务 运行 。 


缓存 上 报 方式 需要 指定 违规 数据 的 上 报时 间 段 。 违 规 数据 以 缓存 方式 上 报时 ， 探 制 器 
将 以 一 天 为 周期 问 数 据 库 上 报 违规 数据 。 当天 的 上 报时 间 到 来 之 前 ， 已 经 缓存 的 违规 数 
据 通 过 即刻 上 报 能 够 立即 上 报到 数据 库 ， 供 管理 员 查 看 。 在 即刻 上 报 过 程 中 ， 管 理 员 能 够 
手动 停止 上 报 。 即 刻 上 报 未 上 报 完 的 违规 数据 将 在 上 报时 间 到 来 之 后 再 上 报到 数据 库 。 


当天 的 上 报时 间 结 束 后 ， 控 制 器 将 立即 停止 上 报 违规 数 据 。 对 于 上 报时 间 结 束 而 违规 
数据 没有 本 报 完成 的 情况 ， 管 理 员 通 过 设置 Server Monitor 的 过 滤 告 警 项 目 ， 能 够 监控 违规 
信息 是 于 上 报 完 成 ， 以 便 确 认 是 否 需 要 调整 缓存 上 报 的 “持续 时 间 ”。 如 果 Server 
Monitor 多 次 产生 缓存 上 报 未 完成 的 告警 信息 ， 建 议 管理 员 延 长 缓存 上 报 的 “持续 时 间 ”? 


O 


Server Monitor 是 Policy center 的 运 维 工具 在 下 面 的 胶片 将 会 介绍 。 


归属 地 配置 


。 配置 路 径 : 系统 配置 > 服务 器 配置 > 归属 地 配置 ， 单 击 “ 增 加 


B Lad:) We 


SC 地 址 池 ( 用 于 终端 认证 的 负载 均 币 ) 名 增加 司 扣除 


~ 备 SC 地 址 地 ( 当 SC 地 址 池 郡 不 可 用 时 ，NAC 代 理会 自动 连接 备 SC 培 址 油 进行 认证 ): 


说 明 : 
| 邮 是 指 同一 归属 地 所 有 主 用 SC 的 集合 ar 内 的 SC 具有 Pr 功能 ， 当 任意 一 台 SC 出 现 故 簿 
、 hE hp 
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增加 归属 地 ， 以 便 管理 器 将 归属 于 同一 个 归属 地 的 所 有 主 用 控制 器 和 备用 控制 器 加 入 
地 址 池 ， 确 保 地 址 池 的 所 有 控制 器 共同 分 担 贫 答 ， 在 其 中 的 控制 器 出 现 故 障 时 确保 网 络 连 
接 不 会 被 中 断 


现 网 部 署 多 全 控制 器 ， 这 些 探 制 器 构成 了 终 新 认证 的 地 址 池 。 在 认证 时 ， 客 户 端 随机 
地 从 池 址 池 中 选择 一 合 控制 器 进行 连 授 ， 从 而 达到 对 控制 器 进行 负载 分 担 的 目的 。 当地 址 
池 中 的 所 有 控制 器 出 现 故 障 时 ， 通 过 提供 备用 控制 器 ， 确 保 客 户 端 能 够 连接 备用 控制 器 完 
成 认证 ， 提 高 了 服务 器 的 可 年 性 


FTP 服 务 兹 的 配置 


当前 位 置 : 系统 配置 > 服务 器 配置 > FTP 腿 务 避 配置 
源 FTP 服 务 器 


BD 增加 © NN 
FTP 服 务 器 别名 ”IP 地 址 
:1 [( 1.1.1.2 1.1.1.2 


镜像 FTP 服 务 器 


FTP 服 务 器 别名 IP 地址 传输 最 大 流量 (K-- 


修改 FTP 服 务 器 配置 
“FTP 服 务 器 别名 : 


。 镜像 FTP 服 务 器 从 源 FTP 服 务 器 上 > 
同步 文件 * 庙 口 : “21 


* 上 传 账号 名 称 : ftpupload 
+ 密码 ; weneee 
“下 载 账号 名 称 : ftpdownload 


* 室 码 ; e0000d 





说 明 : 
e 用 户 名 和 密码 不 能 输入 @ 字 符 六 
划 | 确定、 站 取消 
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还 可 增加 源 FTP 服 务 器 ， 方 便 管理 员 存 放 安 全 策略 、 软 件 和 补丁 ， 同 时 问 终 端 用 户 和 
镜像 FTP 服 务 器 提供 安全 策略 、 软 件 和 补丁 的 下 载 服务 


分 配 FTP 服 务 器 


劲 分 配 FTP 服 务 器 - 1.1.1.2 -- 网 页 对 话 框 


ily 前 路 径 系 统 首选 FTP 服 务 器 : 
配置 > 服务 器 配置 em 


1 1.1.1.2 


>FTP 服 务 器 分 配 
FTP 服 务 器 给 控制 器 

将 FTP 服 务 器 分 配 备 选 FTP 服 务 器 列表 : © wn © MI 

给 安全 控制 器 ， 四 

终 痕 用 户 通过 安 

全 控制 器 连接 到 

FTP 服 务 器 下 载 资 

源 。 
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。 FTP 服 务 器 的 分 配 原则 如 下 : 


po 如 果 安 全 管理 器 与 安全 控制 器 安装 在 同一 台 硬 件 服务 器 ， 则 不 需要 配置 备 选 FTP 
服务 器 ， 只 需要 配置 首选 FTR 服 务 器 ， 首 选 FTP 服 务 器 指向 安全 管理 器 即 可 。 


a ”如 果 安 全 管理 器 与 安全 粹 制 器 安装 在 不 同 的 硬件 服务 器 ， 并 且 只 包含 一 台 安 全 控 
制 器 ， 则 不 需要 配置 备 选 FTP 服 务 器 ， 只 需要 配置 首选 FTP 服 务 器 ， 首 选 FTP 服 务 
器 需要 指向 安全 控制 器 。 

a 如 果 安 全 管理 器 与 安全 控制 器 安装 在 不 同 的 硬件 服务 器 ， 并 且 包含 多 台 安全 控制 
器 、 则 需要 同时 配置 首选 FTP 服 务 器 和 备 选 FTP 服 务 器 。 首 选 FTP 服 务 器 需要 指向 
与 NAC Agent 连 接 带 宽 最 好 的 安全 控制 器 ， 备 选 FTP 服 务 器 需要 指向 其 他 安全 控制 
器 。 


@ 目录 


终 疡 安全 系统 的 安 表 


sw 
—™ 


Policy Center 系 统 配置 
2.1 License 管 理 
2.2 服务 器 配置 
终 靖 配置 
终 响 安全 系统 部 署 


WW HUAWEI 
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全 局 参数 


。 终端 全 局 参数 是 与 客户 端 相 天 的 参数 ， 配 置 该 参数 后 对 所 有 
mo 适用 ， 根 据 实际 需要 配置 各 类 全 局 参数 。 


终端 代理 自 启动 和 非 AD 域 用户 登 录 设 置 
终端 代 i 召 名 制 自 启动 设置 
本 置 同一 账号 能 在 条 个 终 负 登录 : 
也 置 硅 AD 域 用 户 记 用 域 张 号 登录 


找 出 USBKey 后 客户 演 是 否 自 动 主 销 ( 仅 支 持 终 湛 代理 ) ; 


良 置 代理 终端 认证 类 型 

恒 置 子 网 快速 下 载 参数 
配置 违规 上 报 周 期 参 数 
配置 下 推 主页 URL 

配置 定制 的 终 调 的 显示 标题 和 显示 图 标 
配置 远程 采集 日 志 密码 

网 络 导航 
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设置 终端 参数 ， 功 能 较为 丰富 ， 通 过 在 管理 器 的 设置 使 终端 代理 具备 或 不 具备 东 些 功 


D 终端 代理 自动 和 非 AD 域 用 ' 媚 登录 设置 
0 ”终端 认证 类 型 

0 违规 上 报 周 期 

o 下 推 主 页 URL 

D^ 802.1X? 认 证 

0 “网 络 导 航 





。 配置 该 参数 后 需要 分 配给 指定 的 终端 ， 用 于 已 指定 的 终端 


根据 实际 需要 配置 各 类 局 部 参数 并 分 配给 是 的 终 闹 。 


当前 位 置 : 系统 配置 > 终 庙 更 置 ta 


相 强制 85 oa i pp | 交加 基 用 代理 USB 功 能 


基本 信息 
六 禁止 终 详 修改 室 理 “模板 名 称 : huawei 
避 有 代理 USBI 模板 据 述 : 
入 终 这 版 本 控制 
六 加 一 账号 接 入 数控 抽 
i 设置 参数 信息 
ee ets 禁止 代理 使 用 USB 功 能 


说 明 : 
。 勾 选 该 参数 后 ， 代 理 端 将 隐藏 US8 管 理 页 签 ， 并 禁用 所 有 
已 注册 US5B 存 储 设 备 。 K 


在 左 侧 导 航 树 ， 选 择 “ 禁 用 代理 USB 功 
能 ”然后 单 击 “ 增 加 ”出 现 如 右 对 话 框 
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部 参数 是 与 NAC Agent 的 配置 相关 的 参数 ,只 在 下 发 了 局 部 参数 模板 的 终端 生效 ， 
如 果 不 同 的 模板 分 配给 部 门 、 账 号 、 终 端 IP 地 址 范围 ， 则 优先 级 最 高 者 所 分 配 到 的 模板 将 
会 生效 。 部 门 、 账 号 、 终 六 IP 地 址 范围 的 优先 级 天 系 为 : 账号 > 终端 iP 地 址 范围 > 部 门 。 


。 终 问 局 部 参数 : 


口 


强制 终端 防 印 载 头 禁止 终端 用 户 随 意 番 载 NAC Agent， 郝 载 时 要 求 输入 管理 员 提 
供 的 凶 载 密码 。 

禁止 终 闪 保存 密码 : NAC Agent 的 认证 界面 不 展示 “保存 密码 ” 复 选 框 ， 终 端 用 
户 以 NACAgent 方 式 认 证 时 不 能 保存 密码 。 

远程 协助 : 在 NAC Agent 界 面 显 示 远 程 协 助 的 配置 界面 ， 终 端 用 户 能 够 修改 是 否 
允许 管理 员 远 程控 制 或 查看 终端 主机 的 果 男 。 

禁止 终端 修改 密码 : 终端 用 户 在 NAC Agent 使 用 普通 账号 认证 通过 后 ， 禁 止 该 用 
户 修改 账号 的 密码 。 

禁止 终端 USB 功 能 : 终端 用 户 在 NAC Agent 通 过 认证 后 ， 禁 止 该 用 户 使 用 注册 的 
USB 移 动 存 储 设 备 ， 这 部 分 终端 不 占用 USB 管 理 功能 的 License。 


@ 目录 


， 终 背 安全 系统 的 安 交 
Policy Center 系 统 配置 
终端 安全 系统 部 署 
2.1 硬件 SACG 接 入 方式 部 署 


2.2 802.1X 接 入 方式 部 署 
2.3 Portal 接 入 方式 部 署 
2.4 软件 SACG 接 入 方式 部 署 
2.5 主机 互 访 控制 
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本 节 主 要 介绍 终端 安全 系统 的 部 署 


硬件 SACG 接 入 


; 认证 后 域 


10. 1. 3.6/30 | ' ' ' 
: PY 业务 服务器 2 ， 192. 18. 4 0/24 | 


11. 1. 2. 5/30 10. 1. 3.5/30 ， 


GE0/0/0 
了 岗 疝 
192 18. 5. 0/24 | 


‘入 9 
| 


10. 1. 1. 0/24 / 认证 前 是 





硬件 SACG 上 典型 组 网 拓扑 ， 芳 挂 方 式 ，IP 规 划 如 图 中 所 示 ， 其 中 SACG 为 USG5300， 
版 本 为 V3R1， 策 略 中 心 可 与 多 种 型 号 及 版 本 的 防火 墙 联动 ， 具 体型 号 及 版 本 的 对 应 天 系 
可 查看 产品 文档 。 


硬件 SACG 接 入 配置 流程 
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。 按照 该 流程 配置 硬件 SAACG 接 入 控制 。 


增加 防火 场 


。 配置 路 径 : 接 入 探 制 策略 >SACG 接 入 控制 > 硬件 SACG， 单 击 


SC 服务 器 全 地 址 列表 :; 
10.1.4.2;10.1.4.3 


说 明 : 当 防 火 墙 与 以 上 的 SG 诗 接 出 现 异 常 时 , 孙 统 椅 发 出 肖 登 
当 有 宅 行 时 用 分 号 隔 开 


#1IP 
1 10.1.1 
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主要 参数 说 明 : 
oO 名 称 : 设置 硬件 安全 接 入 控制 网 天 的 名 称 ， 该 名 称 不 能 与 已 存在 的 硬件 安全 接 入 


控制 网 天 名 称 重 复 。 最 大 长 度 为 100byte。 


类 型 : 选择 硬件 安全 接 闪 控制 网 关 的 类 型 。 这 里 使 用 防火 墙 来 控制 终端 用 户 接 入 
网 络 ， 请 选择 “防火 墙 。。 


主 用 IP: 输入 防火 墙 设备 连接 到 控制 器 的 接口 的 IP 地 址 。 

备用 IP\、 如果 现 网 提供 备用 防火 墙 设备 ， 输 入 备用 设备 连接 到 控制 器 的 接口 的 IP 
地 址 。 

Key: 输入 防火 墙 设备 的 认证 密码 ， 必 须 与 防火 墙 设备 配置 的 共享 密 钥 一 致 。 

SC 服务 器 |P 地 址 列表 : 输入 连接 异常 需要 产生 告警 的 控制 器 的 |P 地 址 。 当 防火 墙 
与 “SC 服务 器 |P 地 址 列表 ”中 的 控制 器 连接 异常 时 ， 管 理 器 将 发 出 告警 。 当 有 多 
个 IP 地 址 时 ， 请 用 半角 分 号 分 隔 开 。 


增加 可 域 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 硬件 SACG， 单 击 
“ 才 域 ” 


增加 前 域 


= 掩 码 长 度 ( 人 位): | 32 
描述 : TSM 控 制 器 。 
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硬件 安全 接 入 控制 网 关 只 允许 配置 1 个 认证 前 域 ; 该 认证 前 域 适用 于 所 有 的 终端 用 户 。 


认证 前 域 最 多 支持 增加 500 条 IP 地 址 段 记录 ， 所 有 的 iP 地 址 段 作 为 认证 前 域 所 包括 的 网 
络 资 源 。 


请 将 以 下 网 络 资 源 部 署 在 认证 前 域 : 人 允许 终端 用 户 在 通过 身份 认证 之 前 访问 的 公共 网 
络 资 源 (如 DNS 服 务 器 < 外 部 认证 产 、 探 制 器 、 少 理 器 等 ) 。 

如 果 在 “SC 配置 管理 ”页 面 中 管理 员 已 经 列 出 所 有 的 控制 器 ， 则 所 有 的 控制 器 (包括 
不 属于 该 归属 地 的 控制 器 ) 均 会 自动 加 入 认证 前 域 , 否则， 需要 管理 员 手 工 将 所 有 的 
控制 器 加 入 认证 前 域 。 


增加 受 探 域 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 硬件 ?ACG ， 单 击 
“ 受 控 域 ” 


。 创建 两 个 受 控 域 ， 分 列 对 应 于 隔 亢 域 和 认证 后 域 网 段 


TE3 -- 网页 对 话 短 3 引 xl GE TRE 


网 络 资源 
© © WM 全 增加 @ 删除 


IPH 人 于 jsj 协 以 基 型 诬 口 


出 3 党 必 雪 起 XI 而 上 | 
1 192.168.4.0 24 ALL 0 1 192.168.5.0 24 ALL 0 


协议 类 天 
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。 硬件 安全 接 入 控制 网 天 允许 配置 多 个 受 控 域 人 

。 将 终端 用 户 在 认证 后 才能 访问 的 所 有 网 络 资源 添加 到 受 控 域 中 ， 根 据 终端 用 户 的 权限 
不 同 ， 不 同 的 受 探 域 配置 为 隔离 域 和 认证 后 域 。 例 如 ， 对 于 部 门 A， 将 受 探 域 1 配置 为 
部 门人 A 的 隔离 域 ， 将 受 控 域 2 配置 为 部 门 A 的 认证 后 域 


增加 隔 遍 域 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 硬件 SACG ， 单 击 
“隔离 域 ” 选 择 名 称 为 “huawei_ 隔离 ”的 受 控 域 
汉人 修改 隔 训 域 -- 网 页 对 话 框 
基本 信息 


+ 名 称 : huawei 隔离 | 
描述 ; 


禁止 访问 列表 中 的 受 控 域 资源 ,允许 访问 其 它 。 


受 控 域 资源 


SW] ws 
受 控 域名 称 


1 huawei 
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能 够 帮助 终端 用 户 消除 违规 信息 的 相 天 资产 “fi 补丁 服务 器 、 防 病毒 服务 器 等 ) 部 署 
人 在 本 区 域 ， 硬 件 安全 接 入 控制 网 关 人 允许 配置 多 个 隔离 域 。 


选择 “ 茶 止 访问 列表 中 的 受 控 域 资源 ， 人 允许 访问 其 已 。”: 禁止 接 入 认证 后 域 的 终端 
用 户 访问 “ 受 控 ap ate 但 允许 终 站 用 户 访问 “ 受 控 域 
资源 ”未 列 出 的 受 控 域 中 的 网 络 资源 。 


该 选项 适用 于 茜 止 终端 用 户 访 问 的 网 络 资源 非常 容易 全 部 列举 出 来 ， 但 允许 终 问 用户 
访问 的 网 络 资产 较 多 或 者 不 容易 全 部 列举 出 来 的 情况 。 


在 认证 后 域 中 > 除非 明确 禁止 终端 用 户 访 问 的 网 络 资产， 其 他 未 涉及 的 网 络 资产 在 缺 
省 情况 下 是 允许 终端 用 户 访问 的 。 要 实现 终端 用 户 通 ee 
(将 Internet 作 为 管理 器 的 认证 后 域 ) ， 必 须 使 用 “禁止 访问 列表 中 的 受 探 域 资 源 ， 允 
许 访问 其 它 。” 模式 


增加 认证 后 域 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 硬件 SACG， 单 击 “后 域 
”选择 名 称 为 “huawei_ 后 域 ” 的 受 探 域 


EB L224 -- 网 页 对 话 框 


基本 信息 
* 名 称 ; huawei_ 后 域 | 
描述 : 


| 
控制 方式 : 加 只 允许 访问 列表 中 的 受 控 域 资源 , 禁止 访问 其 它 ， 


禁止 访问 列表 中 的 受 控 域 资源 ,允许 访问 其 它 。 


中 受 控 域名 称 


| huawei1 
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需要 受 探访 问 的 网 络 资源 (如 ERP 系 统 、 财 务 系 统 、 数 据 库 系统 ) 部 署 在 本 区 域 ， 硬 件 
安全 接 入 控制 网 关 人 允许 配置 多 个 认证 后 域 。 


增加 认证 模板 


。 配 置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 授权 规则 模板 ， 单 
击 “ 增 加 ” 


淖 修 改 授权 规则 模板 -- 网 页 对 话 框 


按时 间 段 控制 接 入 ; 
” 按时 间 息 控制 接 入 配置 
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。 增加 硬件 安全 授 入 控制 网 天 的 授权 规则 模板 2 沙 人 便 将 所 创建 的 隔离 域 和 认证 后 域 分 配 
给 终端 主机 ， 确 保 终 端 主机 在 认证 通过 后 能 访问 相应 的 网 络 资源 。 

。 在 不 同时 间 段 和 不 同 认 证 状态 下 访 阅 相应 的 网 络 资产 ， 以 便 验 证 硬件 安全 接 入 控制 网 
天 按时 间 段 援 入 控制 配置 成 功 。 

。 根据 终端 用 户 进 行 认证 的 时 间 ， 以 及 认证 状态 不 同 ， 终 端 用 户 能 够 访问 的 网 络 资产 也 
不 同 ， 具 体 情况 如 趟 : 


分 配 授 权 规 则 模板 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 授权 规则 模板 ， 单 击 名 
A 


分 本 部 门 ,账号 ,和 终 庙 玉 地 址 范围 


强 建议 不 要 同时 给 部 门 和 阿 结 区 域 号 喃 授权 规 风 | 模 板 ， 天 刚 | 持 不 音 易 识别 某 个 终端 实际 使 用 的 
错 银 ， 导致 管理 混乱 。 
生效 优先 级 : 账号 > 网 结 区 域 > 部 门 。 


分 豆 给 部 门 分 本 给 账号 分 配给 经 铅 全 地 址 范 


假设 该 账号 已 经 存在 


Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 58 Vb HUAVWEI 





应 用 隔离 域 和 认证 后 域 到 网 络 区 域 /账号 /部 1 和 于， 当 该 网 络 区 域 所 分 配 到 的 隔离 域 和 认 
证 后 域 生 效 时 ， 通 过 身份 认证 但 未 通过 安全 认证 的 终端 主机 只 人 允许 访问 隔离 域 的 网 络 资 源 
， 通 过 安全 认证 的 终端 主机 人 允许 访问 认证 后 域 的 网 络 资源 。 


如 果 在 设置 网 络 区 域 的 隔离 城 和 认证 后 域 时 ， 设 置 了 部 门 、 账 号 的 隔离 域 和 认证 后 域 
， 则 三 者 中 优先 级 最 高 者 所 分 配 到 的 隔离 域 和 认证 后 域 将 会 生效 。 部 门 、 账 号 、 网 络 区 域 
的 优先 级 天 系 为 : 账号 信 网 络 区 域 > 部 门 。 


当 同 时 为 部 门 和 网 络 区 域 分 配 隔离 域 和 认证 后 域 时 ， 省 理 员 要 判定 芭 个 员工 对 应 的 隔 
离 域 和 认证 后 址 不 仅 要 考虑 员工 在 哪个 部 门 ， 还 要 考虑 该 员工 在 哪个 网 络 区 域 的 终 病 主 
机 上 进行 认证 。 当 员工 在 不 同 网 络 区 域 认 证 时 ， 各 个 网 络 区 域 配 置 的 隔离 域 和 认证 后 域 不 
一 样 ,^\ 员 工 对 应 的 隔离 域 和 认证 后 域 也 就 不 一 样 。 这 残 增加 了 管理 员 管 理 的 复杂 度 。 因 此 
， 建议 省 理 员 不 要 同时 为 部 门 和 网 络 区 域 分 配 隔离 域 和 认证 后 域 。 


下 发 访问 探 制 列 表 


当前 位 置 : 接 入 控制 策略 > SACG 接 入 控制 配置 > 硬件 SACG 
硬件 SACG ， 前 域 |， 受 挖 域 ， 隔离 域 ， 后 域 ， BAS 后 域 
全 卉 加 @ 暗 活 顶 同步 硬件 SACG| 泌 导入 弹 呈 出 

名 称 

nosacg 


huawei 


单 击 “ 同 步 硬件 >ACC 提示 
弹出 对 话 框 如 右 ， 单 击 7) 确 
“是 ” wd 


[可 在 
i 


定 同步 硬件 SACG? 
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。 操作 步骤 : 
1. 选择 “ 接 入 控制 策略 > SACG 接 入 探 制 配 置 > 硬件 SACG 。 
2. 选择 “硬件 SACG" 页 签 。 
3. 单 击 “ 同 步 硬件 SACG™。 
4. 单 击 “ 是 ”。 
5. 访问 控制 列表 将 会 立即 被 下 发 至 硬件 安全 接 入 控制 网 关 并 且 立 即 生效 。 


交换 机 关键 配置 


交换 机 需要 把 进入 交换 机 的 流量 重 定 同 到 SACG， 由 SACG 探 制 数据 
流 的 转发 ， 常 用 有 三 种 配置 方法 


o 接口 使 用 traffic-redirect 命 令 
0 策略 路 由 
o 使 用 流 分 类 、 流 行为 、 流 策略 
。 举例 : 直接 在 接口 使 用 traffic-redirect 命 令 : 
[SW-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255 


[SW-GigabitEthernet0/0/0] traffic-redirect inbound acl 2000 ip-nexthop 
11.1.2.6 
s 
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。 基础 配置 : 接口 类 型 、IP 地 址 等 ， 省 略 
。 ACL 配 置 : 需要 进行 准 入 控制 的 网 段 [SW-acl-basics2000] rule permit source 10.1.1.0 0.0.0.255 
。 重 定 问 配 置 : 
o ”在 接口 使 用 traffic-redirect 命 令 
[SW-GigabitEthernet0/0/0] traffic-redirect inbound acl 2000 ip-nexthop 11.1.2.6 
策略 路 由 : 
[SWjpolicy-basedsfroute redirect permit node 1 
[SW=policy-based-route-redirect-1]if-match acl 2000 
[SW-policy-based-route-redirect-1japply ip-address next-hop 11.1.2.6 
0“ 流 分 类 、 流 行为 、 流 策略 配置 : 
[SWjtraffic classifier c-redirect 
[SW-classifier-c-redirectjif-match acl 2000 
[SWjtraffic behavior b-redirect 
[SW-behavior-b-redirectjredirect ip-nexthop 11.1.2.6 
[SW-trafficpolicy-p-redirect]classifier c-redirect behavior b-redirect 
0 ”应 用 到 接口 


a 策略 路 由 : [SW-GigabitEthernet0/0/0l]ip policy-based-route redirect 


tk 


a ” 沉 分 类 、 流 行为 、 流 策略 : [SW-GigabitEthernet0/0/0]traffic-policy p-redirect inbound 


SACG 天 键 配 置 


。 SACG 一 般 常 用 防火 墙 也 可 以 是 BAS 设 备 (华为 ME60) ， 如 果 
为 防火 墙 一 般 使 用 USG 和 Eudemon 系 例 防 火 墙 ， 配 置 命 令 基 
本 相同 。 


USG 系 列 防 火 墙 配置 举例 : 

[USG5000] right-manager server-group 

[USG5000-rightm] default acl 3099 

[USG5000-rightm] server ip 10.1.4.2 port 3288 shared-key TSM_Security 
[USG5000-rightm] right-manager server-group enable 


[USG5000] policy interzone trust untrust outbound 


[USG5000-policy-interzone-trust-untrust-outbound] apply packetstilter right- 


Manager 
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当 终 端 用 户 在 未 通过 身份 认证 的 情况 下 通过 IE 浏 览 器 尝试 访问 认证 后 域 中 的 Web 服 务 器 
时 ， 配 置 USG5000 以 便 实 现 USG5000 自 动 在 终端 主机 推送 Web 认 证 页 面 的 功能 ， 方 便 终 
疹 用 户 通过 Web 页 面 进 行 届 份 认证 。 


[USG5000] right-manager server-group 
[USG5000-rightm| rightsmanager authentication url http://10.1.4.2:8080/webauth 
配置 与 UyG5000 连 接 控 制 器 的 最 少数 量 ， 并 局 用 逃生 通道 功能 
[USG5000-rightml}right-manager server-group active-minimun 2 
[USG5000xrightm]| right-manager status-detect enable 

通道 的 状态 切换 摘 述 如 下 


o 当 存 活 的 控制 器 达到 或 超过 2 (active-minimun 参 ee 数值 ， 取 值 范 围 为 1 
~8， 默 认 值 为 1) 人 台 时 ，U9G5000 将 不 会 开局 逃生 通 


o 当 存 活 的 控制 器 小 于 2 人 台 时 ，USG5000 将 会 开局 逃生 通道 ， 人 允许 所 有 用 户 终 端 访 
回 受 控 网 络 ， 避免 终端 用 户 因 控制 器 出 现 故 障 而 无 法 访问 网 络 。 


不 同 版 本 的 防火 墙 在 策略 管理 中 心 联 动 配置 命令 有 所 差异 ， 但 基本 类 似 ， 实 际 配 置 时 
请 参考 相应 产品 文档 。 


注意 : 需 配 置 返回 到 交换 机 的 静态 路 由 。 


多 目录 


终 凯 安全 系统 的 安 释 
Policy Center 系 统 配置 
终 岂 安全 系统 部 署 
2.1 硬件 SACG 接 入 方式 部 署 


2.2 802.1X 接 入 方式 部 署 
2.3 Portal 接 入 方式 部 署 
2.4 软件 SACG 接 入 方式 部 署 


2.5 终端 主机 互 访 控制 
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本 主要 介绍 终端 安全 系统 802.1X 接 入 方式 妆 署 。 


802.1X 接 入 


，172. 20. 2. 2 
业务 服务 器 1 业务 服务 器 2 ， 


GE0/0/9 GE0/0/2 
192. 168. 1. 10 172. 18. 10.7 ， 
修复 服务 器 


了 隔离 域 
802. 1X 交 换 机 : 


Sd:172. 18.12.3 
认证 前 域 


192. 168. 1. 0/24 


~ NA 18. 12. 2 





。 802.1X 接 入 控制 拓扑 ，IP 及 端口 规划 如 图 所 下 地 交换 机 型 号 为 35300。 


802.1X 接 入 配置 流程 


增加 授权 规则 


配置 802.1X 交 换 机 


结束 
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按照 该 流程 图 完成 802.1X 接 入 控制 流程 图 。 


增加 设备 


配置 路 径 : 接 入 控制 策略 > 接 
入 设备 > 接 入 设备 > 设备 ， 单 
击 “ 增 加 ” 
配置 说 明 : 
组 名 称 : 默认 
设备 类 型 : 华为 Quidway 系 列 
RADIUS 认 证 密 钥 : 123456 
RADIUS 计 费 密 钥 : 123456 


增加 臣 备 
设备 基本 信息 
* 名 称 ; ”802.1X 
* 钥 名 称 :默认 
*IP 地 址 : 172.18.10,7 
设备 类 型 : 华为 Quidway 系 列 
"RADIUS 认 证 密 钥 :e0000% 
*RADIUS 计 温 窑 钥 :e0000e 
实时 计 费 周期 (分 1 
名); 
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增加 认证 规则 


配置 路 径 : 接 入 控制 策略 > 
认证 授权 > 认证 规则 ， 单 
击 “ 增 加 ” 
配置 说 明 : 
业务 类 型 : 接 入 业务 
部 门 : 研发 部 
接 入 设备 组 : 默认 
认证 协议 : EAP-PEAP- 
MSCHAPv2 协 议 
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“名 称 : 802.1X 


业务 类 型 ; 加 接 入 业务 设备 管理 业务 MAC 这 路 认证 业务 
描述 : 到 


司 
[ww ] | 单 击 展开 可 配置 部 
认证 信息 门 、 接 入 设备 组 等 


启动 RADIUS 中 继 
“数据 源 : ”本 地 数 扼 源 E 


四 默认 的 认证 协议 : 


兼 容 洛 版 本 代理 
“ 请 选择 允许 使 用 的 认证 协议 : PAP 协议 
CHAP 协 议 
EAP-MD5 协 议 
W EAP-PEAP-MSCHAPV2 协 议 


EAP-PEAP-GTC 协 议 


EAP-TTLS-pAp 协 议 \ 
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注意 选择 认证 协议 时 必须 保证 交换 机 也 支持 该 协议 。 


增加 授权 结 琳 


配置 路 径 : 接 入 控制 策略 > 认 一 一 一 一 
证 授权 > 授权 结果 ， 单 击 “ 增 业务 类 型 ， 回 接 入 业务 设备 管理 业务 MA( 半 路 认证 业务 


加 ” 上 
到 
配置 说 明 : 人 授权 参数 


结 设备 下 发 展 人 时 ， 需 要 确 兴 法 设 备 是否 支持 功能 : 
o 业务 类 型 : 接 入 业务 i 


. 动态 ACL: | 
oo ACL 号 /用 户 组 : 3002 
自 定义 授权 参数 
wh 日 出 除 涛 导入 Radius 早 性 
厂商 类 型 标准 属性 。 属性 号 /名 称 属性 类 型 


VLAN: 
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交换 机 也 需 配 置 ACL 3002， 以 识别 策略 中 心 \ 下 发 的 ACL 3002。 


基于 动态 ACL 的 802.1X 准 入 控制 方案 的 买 现 原理 是 : 根据 终 关 用户 的 身份 和 终端 主机 的 
安全 检查 结果 ， 安 全 控制 器 问 交 换 机 下 发 相应 的 ACL。 由 于 不 同 广 商 的 交换 机 要 来 
RADIUS 服 务 器 下 发 的 RADIUS 属 性 不 同 ， 为 确保 安全 控制 器 ( 即 RADIUS 服 务 器 能够 问 
交换 机 下 发 正确 的 ACL 人 参数 , ` 要 选择 正确 的 设备 类 型 ， 相 天 对 应 天 系 请 查阅 产品 文档 。 


增加 授权 规则 


配置 路 径 : 接 入 控制 策略 > 认 
证 授权 > 授权 规则 ， 单 击 “ 增 了 
= 
配置 说 明 : E 
业务 类 型 : 接 入 业务 
部 门 : 研发 部 
接 入 设备 组 : 默认 
授权 结果 : 802.1X 
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。 将 默认 授权 规则 的 “授权 结果 ”修改 为 “ 禁 虹 食 入 ”。 


802.1X 交 换 机 配置 思路 


。 配置 思路 
o 配置 RADIUS 服务 器 模板 。 
o 配置 RADIUS 授权 服务 器 。 
o 配置 认证 方案 和 计 费 方案 。 


o 配置 域 ， 并 绑 定 域 和 已 配置 的 RADIUS 服务 器 模板 、 认 证 方案 及 计 费 方案 


D 


局 用 全 局 和 接口 的 802.1X 认 证 。 
配置 ACL 规 则 。 在 交换 机 配置 该 ACL 规 则 ， 以 便 策 略 管理 中 心 向 交换 机 


下 发 ACL 时 ， 交 换 机 能 够 识别 该 ACL。 


SS 
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。 基础 配置 如 接口 配置 省 上 咯 ， 可 查看 相应 型 号 版 本 的 交换 机 产品 文档 。 


配置 RADIUS 服务 器 模板 


。 配置 RADIUS 服 务 器 模板 。 
<Quidway> system-view 
[Quidway] radius-server template policy 
[Quidway-radius-policy] radius-server authentication 172.18.12.3 1812 
[Quidway-radius-policy] radius-server accounting 172.18.12.3 1813 


[Quidway-radius-policy] radius-server shared-key simple 123456 
[Quidway-radius-policy] quit 
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e Radius 模 板 配 置 : 
o 配置 RADIUS 认证 服务 器 的 | 地址， 认证 闯 口 是 1812。 
[Quidwayl] radius-server template’policy 
o 配置 计 费 服务 器 的 IP 地 址 ， 认 证 端口 是 1813。 
[Quidway-radius<policy] radius-server authentication 172.18.12.3 1812 
o 配置 认证 密 铀 和 计 费 密 钥 为 123456。 
[Quidway-radius-policy] radius-server accounting 172.18.12.3 


[Quidway-radius-policy] radius-server shared-key simple 123456 
[Quidway-radius-policy] quit 


怒 置 RADIUS 授权 服务 怖 及 认证 计 费 方案 


。 配置 RADIUS 授权 服务 器 


[Quidway] radius-server authorization 172.18.12.3 shared-key simple 123456 


。 配置 认证 方案 和 计 费 方案 
[Quidway] aaa 
[Quidway-aaal authentication-scheme auth 
[Quidway-aaa-authen-auth] authentication-mode radius 
[Quidway-aaal accounting-scheme acco 


[Quidway-aaa-accounting-acco] accounting-mode radius 
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。 配置 RADIUS 授 权 服 务 器 
o 配置 RADIUS 授权 服务 器 的 地 址 八 共享 密 钥 是 123456。 
[Quidway] radius-server authorization 172.18.12.3 shared-key simple 123456 
。 配置 认证 方案 和 计 费 方案 
0 配置 认证 方案 auth 
[Quidways*aaajl authentication-scheme auth 
0 认证 方法 为 radius。 
[QUIdway-aaa-authen-auth] authentication-mode radius 
0 配置 计 费 方案 acco 
[Quidway-aaal accounting-scheme acco 
[Quidway-aaa-accounting-acco] accounting-mode radius 
[Quidway-aaa-accounting-acco] accounting realtime 1 


[Quidway-aaa-accounting-acco] quit 


配置 域 及 802.1X 认 证 


。 配置 域 
[Quidway-aaal domain default 
[Quidway-aaa-domain-default] radius-server policy 
[Quidway-aaa-domain-default] authentication-scheme auth 


[Quidway-aaa-domain-default] accounting-scheme acco 


。 配置 802.1X 认 证 
[Quidway] dot1x enable 
[Quidway] dot1X authentication-method eap 
[Quidway-GigabitEthernet 0/0/9] dot1x enable 


[Quidway-GigabitEthernet 0/0/9] dot1x port-method MAC 
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。 配置 域 
no 绑 定 已 配置 RADIUS 服务 器 模板 


[Quidway-aaa-domain-default] radius-server policy 
0 绑 定 认证 方案 

[Quidway-aaa-domain-default] authentication-scheme auth 
0 ” 绑 定 计 费 方案 


[Quidway:aaa-domain-default] accounting-scheme acco 


配置 设备 的 ACL 规 则 


。 配置 ACL 规 则 
[Quidway] acl 3002 
[Quidway-acl-adv-3002] rule 1 permit ip destination 172.18.12.3 0 
[Quidway-acl-adv-3002] rule 2 permit ip destination 172.18.12.2 0 
[Quidway-acl-adv-3002] rule 3 permit ip destination 172.20.2.2 0 


[Quidway-acl-adv-3002] rule 4 deny ip destination any 
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。 本 节 主 要 介绍 Portal 接 入 控制 方式 部 团 。 


Portal 接 入 


,172. 20. 2.2 
业务 服务 器 2 


GE0/0/9 GE0/0/2 
192. 168. 1. 10 172. 18. 10.7 ， 


Portal 网 关 


< 终端 主 二 $0:172. 18. 122 3 
192. 168. 1. 0/24 : 认证 前 域 


了 gz 18. 12.2 
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菏 企 业 采 用 所 示 的 组 网 ， 终 并 设备 通过 二 层 交 换 机 接 入 Quidway S55300 交 换 机 。 


在 现行 组 网 结构 的 基础 上 ， 该 企业 部 署 策略 管理 中 心 ， 逢 望 根据 终端 设备 的 安全 检查 
结果 进行 接 入 控制 ， 实 现 如 下 需求 : 六 以 Quidway S5300 交 换 机 作为 与 策略 管理 中 心 联动 的 
网 络 接 入 设备 ,在 未 进行 认证 的 情况 不 ， 管 理 员 只 人 允许 用 尸 访 问 策略 管理 中 心 ， 禁 止 访问 
业务 系统 。 认证 通过 后 ,研发 部 员工 能 够 访问 业务 系统 ， 其 余部 门 员工 仍然 不 能 访问 业 
务 系统 。 


如 果 终 端 用 卢 没 有 安装 NAC Agent， 在 终端 用 户 通过 Web 浏 览 器 访问 业务 系统 时 ， 


Quidway S$5300 交 换 机 自动 向 终端 用 户 推送 安全 控制 器 的 认证 页 面 ， 方 便 终端 用 户 通过 
Web 方 式 进行 认证 。 


Portal 网 天 接 入 配置 流程 


增加 授权 规则 


配置 Porfal 网 关 


结束 
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。 按照 该 流程 图 完成 Portal 网 天 接 入 控制 配置 。 


增加 设 


配置 路 径 : 接 入 控制 策略 > 接 [ss 
入 设备 > 接 入 设备 管理 > 设备 
， 单 击 “ 增 加 ” 


配置 说 明 本 下 


“RADIUS 计 费 密 钥 : 
实时 计 费 周期 (分 钟 ): 


设备 类 型 : 华为 Quidway 系 列 


启用 Portal 


Portal 密 铀 : password Porta 愉 证 参数 


网 关 类 型 : 
“端口 : 


内 网 
2000 


rpora 谨 角 : o。eeeeeee 


“ 接 入 终端 全 地 址 列表 : 
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。 RADIUS 认 证 密 钥 : password 


。 RADIUS 计 费 密 钥 : password 


接 入 终端 IP 地 址 列表 : 192.16834.3s192.168.1.4 


192.168.1.3 
192.168.1.4 





WW HuaAwel 


增加 认证 规则 


配置 路 径 : 接 入 控制 策略 > 认 


证 授权 > 认证 规则 ， 单 击 “ 


增加 ” 

配置 说 明 : 
业务 类 型 : 接 入 业务 
部 门 : 研发 部 
接 入 设备 组 : 默认 


认证 协议 : EAP-PEAP- 
MSCHAPv2 协 议 
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业务 类 型 ; 图 接 入 业务 设备 管理 业务 MA( 这 路 认证 业务 


描述 ; 划 


二 
-一 单 击 展开 可 配置 部 
门 、 接 入 设备 组 等 


启动 RADIUS 中 继 
“数据 源 : ”本 地 数 舌 源 E 
四 默认 的 认证 协议 : 
兼容 洗 版 本 代理 
”请 选择 允许 使 用 的 认证 协议 : PAP 协议 
CHAP 协 议 
EAP-MD5 协 议 
yj EAP-PEAP-MSCHAPY2 协 议 
EAP-TLS 协 议 
EAP-PEAP-GTC 协 议 
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增加 授权 结案 


配置 路 径 : 接 入 控制 策略 > 


认证 授权 > 授权 结果 ， 单 
击 “ 增 加 ” 

配置 说 明 : 

o 业务 类 型 : 接 入 业务 


o_ACL 号 /用 户 组 : 3002 
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^| 基本 信息 


业务 类 型 ， 图 接 入 业务 设备 管理 业务 
描述 ; 到 
习 


MAC 这 路 认证 业务 


^| 授权 参数 
给 设备 下 发 展 性 时 ， 需 要 确认 该 设备 是 否 支持 该 功能 ; 


VLAN; 3 电 
Portal 网 关 需 配 | 
动态 MCL > 置 相 应 的 ACL | 
ACL 号 /用 户 组 :3002 


自 定义 授权 参数 
国志 加 O WE 站 导 和 Radius 是 性 
| 厂商 类 型 叮 准 属性 属性 号 / 放 称 属性 类 型 
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增加 授权 规则 


配置 路 径 : 接 入 控制 策略 

> 认证 授权 > 授权 规则 ， "名 宁 :|pora 
单 击 “增加 

配置 说 明 : 


业务 类 型 ， 回 接 入 业务 MA(C 这 路 认证 业务 


单 击 展开 ， 勾 选 授权 条 件 
口 业务 类 型 : 接 入 业务 


o 部 门 : 研发 部 
o 接 入 设备 组 : 默认 
o 授权 结果 : Portal 
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。 将 默认 授权 规则 的 “授权 结果 ”修改 为 “ 禁 虹 食 入 ”。 


Portal 网 关 配 置 思路 


配置 思路 
配置 交换 机 接口 的 VLAN。 
配置 RADIUS 服务 器 模板 。 


配置 RADIUS 授权 服务 器 。 RADIUS 授权 服务 器 负责 加 交换 机 下 发 COA 消 息 ， 更 新 
终端 主机 的 ACL。 在 本 例 中 ，RADIUS 授 权 服 务 器 应 配置 为 安全 控制 器 (角色 是 
Portal 服 务 器 ) 。 


配置 认证 方案 和 计 费 方案 。 

配置 域 ， 并 绑 定 域 和 已 配置 的 RADIUS 服务 器 模板 、 认 证 方案 及 计 费 方案 。 
配置 Portal 认 证 服务 器 。 将 安全 控制 器 配置 为 Portal 认 证 服务 器 。 

配置 放行 用 户 在 认证 前 需要 访问 的 网 络 资产 ， 并 配置 ACL 规 则 。 
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接口 VLAN 的 配置 省 略 。 


配置 RADIUS 服务 器 模板 


。 创建 RADIUS 服 务 器 模板 : 
[Quidway] radius-server template policy 
[Quidway-radius-policy] radius-server authentication 172.18.12.3 1812 
[Quidway-radius-policy] radius-server accounting 172.18.12.3 1813 
[Quidway-radius-policy] radius-server shared-key simple password 


配置 RADIUS 授 权 服 务 器 : 


[Quidway] radius-server authorization 172.18.12.3 shared-key simple 
password 
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。 RADIUS 模 板 配 置 

0 创建 服务 器 模板 policy。 

[Quidwayj radius-server template‘policy 

o ”配置 RADIUS 认 证 服务 器 的 iP 地址 和 端口 。 

[Quidway-radius*policyj radius-server authentication 172.18.12.3 1812 
o 配置 计 费 服务 器 的 PP 地址 和 端口 。 

[Quidway-radius-policy] radius-server accounting 172.18.12.3 1813 
a ` 配 置 认 证 密 钥 和 计 费 密 钥 为 password。 

[Quidway-radius-policy] radius-server shared-key simple password 


。 配置 RADIUS 授 权 服 务 器 。 


o ”配置 RADIUS 授 权 服 务 器 的 IP 地 址 ， 共 享 密 钥 配 置 为 password，password 为 安全 控 
制 器 与 Quidway S5300 交 换 机 的 授权 密 钥 ， 必 须 与 计 费 密 钥 、 认 证 密 钥 保持 一 致 


O 


[Quidwayj radius-server authorization 172.18.12.3 shared-key simple password 


怒 置 认 下 方案 和 计 费 方案 


。 配置 认 证 方案 和 计 费 方案 。 
[Quidway] aaa 
[Quidway-aaajauthentication-scheme auth 
[Quidway-aaa-authen-auth] authentication-mode radius 
[Quidway-aaa-authen-auth] quit 
[Quidway-aaalaccounting-scheme acco 
[Quidway-aaa-accounting-acco] accounting-mode radius 
[Quidway-aaa-accounting-acco] accounting realtime 1 


[Quidway-aaa-accounting-acco] quit 
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。 配置 认证 方案 和 计 费 方案 
0 配置 认证 方案 auth 
[Quidway-aaalauthentication-scheme auth 
0 ”认证 万 法 为 radius 
[Quidway-aaa-authen~auth] authentication-mode radius 


o 配置 计 费 方案 acco 


[Quidway-aaalaccounting-scheme acco 

a ` 计 费 模式 设 为 radius 

[Quidway-aaa-accounting-acco] accounting-mode radius 
o 启用 实时 计 费 并 设置 计 费 间隔 为 1min 


[Quidway-aaa-accounting-acco] accounting realtime 1 


下 置 域 


。 配置 域 : 


[Quidway-aaal domain default 


[Quidway-aaa-domain-default] radius-server policy 


[Quidway-aaa-domain-default] authentication-scheme auth 
[Quidway-aaa-domain-default] accounting-scheme acco 
[Quidway-aaa-domain-default quit 


[Quidway-aaal] quit 
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。 配置 域 : 
D 配置 域 default 
[Quidway-aaal domain defauylt 
oO 绑 定 RADIUS 服务 器 模板 
[Quidway-aaa-domain-default] radius-server policy 
0 绑 定 认证 方案 
[Quidway-aaa-domain-default] authentication-scheme auth 
“` 绑 定 计 费 方 和 案 


[Quidway-aaa-domain-default] accounting-scheme acco 


配置 Portal 认 证 服务 器 


。 配置 Portal 认 证 服务 器 : 
[Quidway] web-auth-server server1 
[Quidway-web-auth-server-server1] server-ip 172.18.12.3 
[Quidway-web-auth-server-server1] port 50200 
[Quidway-web-auth-server-server1] shared-key simple password 
[Quidway-web-auth-server-server1] url http://172.18.12.3:8080/webauth 
[Quidway-web-auth-server-server1] quit 
[Quidway] interface vlanif 105 
[Quidway-Vlanif105] web-auth-server server1 


[Quidway-Vlanif105] quit 
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。 配置 Portal 认 证 服务 器 : 

D 配置 服务 器 IP 地 址 
[Quidway] web-auth-server Server 1 
[Quidway-web-auth-server-server1] server-ip 172.18.12.3 

o 配置 Portal 认 证 服务 的 端口 号 
[Quidway-websauth-server-server1] port 50200 

o 配置 Portal 认 证 服务 器 与 交换 机 交互 的 共享 密 钢 
[Quidway-web-auth-server-server1] shared-key simple password 

o ”配置 Portal 认 证 服务 器 对 应 的 URL 
[Quidway-web-auth-server-server1] url http://172.18.12.3:8080/webauth 

o 在 接口 下 绑 定 Portal 认 证 服务 器 
[Quidway] interface vlanif 105 


[Quidway-Vlanif105] web-auth-server Server1 


配置 认证 前 需 访 问 的 资源 及 ACL 规 则 


。 配置 放行 用 尸 在 认证 前 需要 访问 的 网 络 资源 ， 并 配置 ACL 规 则 


[Quidway] portal free-rule 0 destination ip 172.18.12.2 mask 255.255.255.255 
[Quidway] portal free-rule 1 source ip 172.18.12.2 mask 255.255.255.255 
[Quidway] acl 3002 

[Quidway-acl-adv-3002] rule 1 permit ip destination 172.20.2.20 
[Quidway-acl-adv-3002] rule 2 deny ip destination any 

[Quidway-acl-adv-3002] quit 
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。 配置 放行 用 户 在 认证 前 需要 访问 的 网 络 资源 并 配置 ACL 规 则 ， 配 置 Portal 认 证 服务 器 
时 ， 已 经 配置 了 安全 控制 器 ， 交 换 机 会 目 动 放行 访问 安全 控制 器 的 数据 沉 ， 无 需 党 理 


员 手 工 配置 。 配置 Free Rule， 放 行 用 户 企 认证 前 需要 访问 的 网 络 资源 〈 此 处 是 DNS 服务 
器 172.18.12.2) 。 


[Quidway] portal free-rule 0 destination ip 172.18.12.2 mask 255.255.255.255 
[Quidway] portal ffee:rule 1 source ip 172.18.12.2 mask 255.255.255.255 

。 配置 放行 业务 系统 的 规则 (ACL 3002 ) 
[Quidway] acl 3002 
[Quidway-acl-adv-3002] description postauthentication 
[Quidway-acl-adv-3002] rule 1 permit ip destination 172.20.2.2 0 
[Quidway-acl-adv-3002] rule 2 deny ip destination any 


@ 目录 


:终端 安全 系统 的 安装 
Policy Center 系 统 配 置 
终 问 安全 系统 部 署 
2.1 硬件 SACG 接 入 方式 部 署 


2.2 802.1X 接 入 方式 部 署 
2.3 Portal 接 入 方式 部 署 
2.4 软件 SACG 接 入 方式 部 署 
2.5 终 问 主机 互 访 控制 
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。 本 二 主要 介绍 软件 SACG 接 入 控制 万 法 。 


软件 SACG 接 入 


,172. 20. 2. 2 
业务 服务 器 2 ; 


GE0/0/9 GE0/0/2 
192. 168. 1. 10 172. 18. 10.7 ， 


1 
' 
1 
Ne 
| 
下 


Sb:172. 18. 12(3 


192. 168. 1. 0/24 | 
;。 认 证 前 域 


多 从 18. 12. 2 





。 软件 SACG，IP 及 端口 规划 如 图 所 示 。 


软件 SACG 接 入 配置 流程 


开始 


局 用 软件 SACG 


ea 后 


分 配 授 权 模 板 


下 发 访问 控制 列表 


结束 
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局 用 软件 SACG 


。 软件 SACG 的 配置 与 硬件 SAACG 配 置 基 本 相同 ， 安 全 域 及 认证 模板 的 
配置 可 参考 硬件 SACG 配 置 。 


入 控制 配置 > 软件 SACG 


基本 信息 前 域 | 隔离 域 ” 后 域 


涛 SX 弹 Sr 医 同 步 软件 SACG 配置 路 径 
rp 配置 特权 IP 段 
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要 使 用 软件 安全 接 入 控制 网 天 实施 终端 主 机 的 接 入 控制 功能 ， 终 病 用 户 必 须 安 狠 并 通 
过 代理 接 入 受 控 网络。Web 客 户 疾 和 Web Agent 插 件 认 证 方式 不 支持 软件 安全 接 入 控制 功 


和 CE 
月 EC 。 


臣 置 特权 IP 


。 所 谓 特权 IP 地 址 池 ， 是 指 具有 特权 终端 用 尸 的 IP 地 址 ， 探 制 器 不 限 
制 该 终 疾 用户 访问 认证 后 域 中 的 网 络 资源 。 

。 特权 IP 地 址 池 适 用 于 不 需要 实施 安全 接 入 控制 的 荣 些 终端 用 户 ， 例 
如 网 络 管理 员 、 企 业 管理 者 等 特权 用 户 。 


打印 机 IP 地 址 


* 摘 码 长 度 (位 ) : | 3 








确定 
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为 了 使 控制 器 不 限制 某 些 特权 终端 用 户 访 问 这 证 后 域 中 的 网 络 资产， 管理 员 需 要 将 该 
终端 用 户 的 IP 地 址 加 入 特权 IP 地 址 池 。 


@ 目录 


:终端 安全 系统 的 安装 
Policy Center 系 统 配 置 
终 问 安全 系统 部 署 
2.1 硬件 SACG 接 入 方式 部 署 


2.2 802.1X 接 入 方式 部 署 
2.3 Portal 接 入 方式 部 署 
2.4 软件 3ACG 接 入 方式 部 署 
2.5 终端 主机 互 访 控制 
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。 本 世 主 要 介绍 终端 互 访 控制 概念 、 原 理 及 配置 。 


终 痛 主机 互 访 控制 


。 认证 表 终 问 互 访 


PE 
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可 信 域 是 一 个 逻辑 的 概念 ， 用 来 确定 网 络 申 可 以 互相 共 至 资源 的 范围 。 可 信 域 需要 应 
用 于 部 门 、 网 络 区 域 或 账号 才能 生效 。 而 可 信 域 的 优先 级 列 从 部 门 、 网 络 区 域 和 账号 依次 
从 低 到 高 。 只 有 在 高 优先 级 的 可 信 域 没有 设置 的 情况 下 ， 低 优先 级 的 可 信 域 设置 才 会 生效 
， 对 于 部 门 的 可 信 域 而 言 ， 如 果 账 号 没有 单独 设置 可 信 域 ， 则 目 动 继承 所 属 部 门 的 可 信 
域 设置 。 可 信 域 适用 于 允许 所 指定 的 终端 主机 之 间 互 相 访 问 ， 而 不 允许 来 自 可 信 域 以 外 的 
终端 主机 访问 可 信 域 中 的 任意 终端 主机 (例如 ， 禁 止 普通 员工 访问 财务 部 所 在 的 网 络 ) 。 


认证 前 终端 互 访 规 则 : 属于 同一 个 可 信 域 的 终端 主机 及 属于 不 同 可 信 域 的 终端 主机 不 
允许 互相 访问 个 例外 设备 不 受 可 信 域 影响 。 例 外 设备 是 那些 不 能 安装 代理 的 终端 设备 如 IP 
电话 、 打 印 机 等 。 


终 闪 主机 互 访 控制 是 基于 软件 的 方式 ， 解 决 硬件 安全 接 入 控制 网 天 在 终端 主机 互 访 控 
制 力 度 不 足 的 问题 ， 硬 件 安全 接 入 探 制 网 关 部 署 于 接 入 层 ， 在 终 并 主 机 数量 较 多 的 情况 下 
， 需 要 部 署 的 硬件 安全 接 入 控制 网 天 的 数量 会 增多 ， 导 致 成 本 增加 ， 硬 件 安全 接 入 控制 网 
天 部 署 于 汇聚 层 或 核心 层 ， 终 站 主 机 之 间 互 访 的 流量 不 经 过 硬件 安全 接 入 控制 网 天 ， 导 致 
硬件 安全 接 入 控制 网 天 无 法 控制 终端 主机 之 间 的 互 访 。 




















| 





Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 95 (DD HUAVWEI 


。 终端 互 访 控制 原理 : 管理 员 在 管理 器 配置 终端 主机 互 访 控制 的 访问 控制 列表 ， 并 下 发 
至 代理 。 当 终端 主机 要 互相 访问 时 : 
go 对 于 iP 地址 不 在 终端 主机 互 访 控制 IP 地 址 池 的 终端 主机 PC3， 不 受 终 端 主 机 互 访 控 
制 机 制 限制 。 无 论 PC3 的 终端 用 户 是 否 通过 安全 检查 ，PC3 均 能 够 访问 位 于 可 信 域 
的 PC1、PC2 和 例外 设备 资源 。 


0 在 局 用 终端 主机 互 访 控 制 功能 的 情况 下 ，PC1 和 PC4 两 合 终端 主机 属于 同一 个 可 信 
域 ， 则 如 用 RC1 或 PC4 其 中 一 侣 终端 主 机 未 通过 安全 检查 〈 例 如 PC1 疫 有 安 疾 代理 
) ， 则 PC1 与 PC4 之 间 不 能 互相 访问 。 


p、 如 宁 PC1 或 PC4 两 合 终端 主机 都 通过 安全 检查 ， 则 PC1 与 PC4 之 间 人 允许 互相 访问 。 


p 在 启用 终端 主机 互 访 控制 功能 的 情况 下 ，PC1 和 PC2 两 台 终 端 主 机 位 于 两 个 不 同 的 
可 信 域 ， 则 无 论 PC1 和 PC2 的 终端 用 户 是 否 通过 安全 检查 ，PC1 与 PC2 之 间 不 能 互 

相 访问 
在 终端 主机 互 访 控制 iP 地 址 池 中 ， 不 适合 启用 终端 主机 互 访 控制 功能 的 设备 (如 IP 
Phone、 打 印 机 ) ， 可 加 入 例外 设备 资源 ， 确 保 终端 用 户 能 够 访问 例外 设备 和 以 及 例外 设 
备 能 够 访问 网 络 。 一 些 公 共 类 的 设备 为 所 有 终端 用 户 使 用 ， 管 理 员 需 要 将 这 些 例外 资源 应 
用 至 所 有 的 部 门 或 所 有 的 网 络 区 域 。 例 外 设备 资源 必须 应 用 于 部 门 、 网 络 区 域 或 账号 才能 
生效 。 如 果 某 些 例外 设备 资源 需要 供 所 有 终端 用 户 ， 必 须 在 所 有 的 部 门 或 网 络 区 域 应 用 该 


例外 设备 资源 。 


软件 SACG 与 终 新 主机 互 访 控制 冲突 处 理 原则 


。 当 两 种 控制 方式 出 冲突 时 ， 现 安全 管理 器 将 会 遵循 以 最 小 权限 的 原则 进行 
处 理 ， 安 全 控制 器 同时 实施 软件 安全 接 入 控制 网 天 和 终端 主机 互 访 控制 两 
者 的 访问 控制 列表 。 

所 谓 的 最 小 权限 原则 是 指 在 同时 局 用 软件 安全 接 入 控制 和 终端 主机 互 访 控 

制 ， 对 于 示 个 特定 的 IP 地 址 : 

o ”如 果 软 件 安 全 网 关 禁 止 访问 该 IP 地 址 ， 则 终端 主机 无 法 访问 该 IP 地 址 。 

o 如 果 软件 安全 接 入 控制 网 关 允 许 访问 该 IP 地 址 ， 同 时 终端 主机 互 访 控 制 要 求实 施 ， 
只 有 互相 信任 的 终端 主机 才 人 允许 互相 访问 ， 则 终端 主机 需要 遵循 终端 豆 访 控制 的 
访问 控制 列表 才能 与 该 IP 地 址 进行 通信 。 
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。 软件 安全 接 入 控制 网 天 与 终端 主机 互 访 控制 同 册 生效 时 ， 下 列 组 合 方式 在 出 现 冲 突 时 
均 遵 循 最 小 权限 原则 进行 处 理 : 


5 软件 安全 控制 网 天 的 认证 前 撕 4 终 端 主 机 互 访 控 制 
0 软件 安全 控制 网 关 的 隔离 域 + 终端 主机 互 访 控制 
0 软件 安全 接 入 控制 网 天 的 认证 后 域 + 终端 主机 互 访 控制 


0 对 于 软件 安全 接 入 控制 网 天 而 言 ， 认 证 后 域 为 10.1.1.1 和 10.1.1.10。 终 端 主 机 PC1 
和 10.1.1.1 在 可 信 域 1， 而 10.1.1.10 在 可 信 域 >， 考虑 到 最 小 权限 的 原则 ，PC1 的 终 
端 用 户 在 通过 安全 检查 后 只 有 访问 10.1.1.1， 不 能 访问 10.1.1.10。 


终 师 互 访 控制 配置 流程 


增加 授权 模板 


分 配 授 权 模 板 


结束 
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按照 该 流程 图 完成 终端 互 访 控制 配置 。 


而 控制 | 及 逃生 通过 


一 


: 莫 入 控制 策略 > SACG 接 入 控制 配置 > 终端 互 访 控制 
基本 信息 ， 终端 互 访 了 p 段 ， 可 信 域 ， 俐 设备 资源 








浒 SA 弹 Sr 要 同步 终 凋 互 访 控制 


终端 互 访 控制 


终端 互 访 控 制 : 


设置 逃生 通道 


逃生 通道 : 
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终端 主机 互 访 控制 涉及 的 逃生 通道 ， 是 指 代理 企 所 属 归 属地 所 有 的 控制 器 都 失效 后 ， 
终端 主机 互 访 控制 机 制 目 动 失效 ， 代 理 对 所 有 的 终端 主机 互 访 请 求 都 会 予以 放行 。 

提供 逃生 通道 的 目的 在 于 ， 当 归属 地 所 有 的 控制 器 都 失效 后 ， 代 理 对 所 有 的 终端 主机 
互 访 请 求 都 会 予以 放行 ， 确 保 网 络 畅通 ， 业 务 不 被 因 控制 器 故障 而 被 中 断 。 

在 逃生 通道 开局 的 情况 下 ， 如 果 控 制 器 从 故障 中 恢复 ， 则 逃生 通道 目 动 天 闭 ， 终 端 主 
机 互 访 控制 机 制 目 动 启动 。 


怒 置 互 访 IP 网 段 及 可 信和 地 


单 击 “ 终 端 互 访 IP 段 ”点 击 “ 增 

* 名 称 : | 华为 

指 述 [市场 部 加 ”如 下 对 话 框 配置 互 访 IP 段 ， 
可 信 域 的 配置 类 似 。 


*IP 地 址 : |10.1.1.0| 
* 挤 码 长 度 (位 ，: 24 
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。 终 并 主 机 互 访 控制 iP 地 址 池 是 指 终端 主机 互 访 功 能 生效 的 地 址 段 。 从 终端 主机 互 访 探 制 
的 角度 看 ， 企 业 网 络 可 划分 为 两 个 区 域 : 


0 实施 终 山 主机 互 访 控制 的 区 城 
0 不 实施 终端 主机 互 访 控 制 的 区 域 
。 两 个 区 域 之 间 的 终端 主机 人 允许 互相 访问 。 


。 实施 终端 主机 互 访 控制 的 区 域 由 管理 员 配 置 的 一 系列 IP 地 址 或 IP 地 址 段 组 成 ， 称 之 为 终 
站 主机 互 访 控制 中 地 址 池 。 终 端 主机 互 访 控制 机 制 的 规则 如 下 : 


o 妖 果 两 台 终 端 主 机 的 IP 地 址 都 在 终 主机 互 访 控制 P 地 址 池 中 ， 则 终端 主机 互 访 控 
制 机 制 生 效 ， 两 台 终 端 主机 之 间 能 否 互相 访问 受到 终端 主机 互 访 控制 功能 的 限制 


oO 如 果 两 合 终端 主机 的 IP 地 址 都 不 在 终 主 机 互 访 控制 PP 地 址 池 中 ， 则 终端 主机 互 访 
控制 机 制 不 生效 ， 两 全 终端 主机 之 间 能 人 否 互相 访问 不 会 受到 终端 主机 互 访 控制 功 
能 的 限制 。 

0 如 果 一 合 终端 主机 的 IP 地 址 在 终 主 机 互 访 控制 |P 地 址 池 中 ， 而 另 一 合 终端 主机 的 IP 
地 址 不 在 终 主 机 互 访 控制 PP 地 址 池 中 ， 则 终端 主机 互 访 控制 机 制 不 生效 ， 两 合 终 
帆 主 机 之 间 能 否 互相 访问 不 会 受到 终端 主机 互 访 控制 功能 的 限制 。 

0 在 终端 主机 互 访 控制 PP 地 址 池 中 ， 两 合 终端 主机 之 间 是 否 能 够 互相 访问 ， 取 决 于 
两 合 终端 主机 是 否 属于 同一 个 可 信 域 ， 并 且 是 否 孝 通过 安全 检查 ， 


怒 置 列 外 设备 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 配置 > 终端 互 访 配置 ， 单 
击 “ 例 外 设备 ” 标 伴 ， 单 价 “ 增 加 ”。 
| ) 修改 9H 设 备 语源 -- mr 大. 





基本 信息 
* 名 称 : “华为 市 场 
揪 壕 : | 打印 机 | 
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所 谓 例 外 设备 资源 ， 是 指 IP 地 址 在 终端 主机 瑟 访 控制 iP 地 址 池 中 ， 但 不 对 该 设备 或 资 
源 实 施 终端 主机 互 访 控制 。 


在 可 信 域 中 代理 允许 终端 用 户 访 问 例 外 设备 资源， 而 不 要 求 例外 设备 资源 安 狗 代理 或 
者 通过 喘 份 认证 或 安全 认证 。 例 处 设备 资产 适用 于 无 法 安 半 代理 的 场合 ， 例 如 打印 机 、IP 
Phone 或 者 不 适合 安装 代理 的 软件 服务 器 ， 代 理 对 任何 终端 主机 访问 例外 设备 资源 都 是 放 
行 的 ， 无 论 终端 主机 是 否 通 过 安全 检查 


增加 授权 规则 模板 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 配置 > 授权 规则 模板 ， 单 
击 “ 增 加 ”。 


尘 增 加 授权 规则 模板 -- 网 页 对 话 框 


按时 间 段 控制 接 入 ; | 
Y 按时 间 段 控制 接 和 配置 


v 软件 SACG 访 问 授权 规则 


^ | 终 庙 互 访 控制 授权 规则 
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。 注意 : 选择 相应 的 可 信 域 和 例外 设备 。 


分 配 授 权 规 则 模板 


。 配置 路 径 : 接 入 控制 策略 >SACG 接 入 控制 > 授权 规则 模板 ， 单 击 名 
称 为 “终端 互 访 ” 的 策略 模板 “ 击 ， 分 配 授权 模板 到 部 门 。 


分 配 部 门 , 屿 号 ,终端 IP 地 址 范围 x 


。 强烈 建议 不 要 同时 给 部 门 和 网 络 区 域 配 置 授权 规则 模板 ， 否 则 将 不 容易 识别 菜 个 终端 实际 使 用 的 
模板 ， 导 致 管理 混乱 。 
。 生效 忧 先 级 : 账号 > 网络 区 域 > 部 门 。 
分 配给 部 门 ”| 分 配给 账号 | 分 配给 终端 IP 地 址 范围 
该 模板 已 分 配给 下 列 部 门 (如 果 选 择 父 部 门 ， 则 子 部 门 继承 父 部 门 设置 。) 
级 ,部 门 村 加 部门 列表 全 移 除 


中 部 门 描述 
1 加 ROOTGuest 研 发 部 
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分 配 授 权 规 则 模板 到 研发 部 。 


Policy center 的 安 六 过程 需 注意 那 几 个 步骤 ? 
数据 库 安装 需 注 意 的 步骤 有 哪些 ? 

人 简 述 硬件 SACG 的 配置 部 又 

简 述 802.1X 交 换 机 的 配置 思路 
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终端 互 访 控制 如 何 实现 ? 
终端 互 访 逃 生 通 道 作 用 是 什么 ? 
配置 Portal 网 天 接 入 时 控制 及 计 费 模板 的 作用 是 什么 ? 
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练习 题 


。 判断 题 


1. Policy Center 操 作 系 统 Server2003 不 需要 安装 SP2 补 丁 。 


。 多 这 题 


1， 部 署 接 入 控制 时 ， 控 制 策略 可 以 分 配给 ” 
A. 部 门 
B. 账 号 
C.IP 段 
D. 区 域 
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。 习题 与 答案 : 


。 判断 题 答案 : 错误 
5 多 选 题 答案 : ABC 


Thank you 


Www.huawel.com 





HC120320004 
终 痛 安全 系统 操作 与 


运 维 管 理 





山 
-yd 


尔 交 能 人 


上 
dd 
要 
昱 


口 


性 ”性 


端 安全 系统 的 运 若 管 理 操作 
终端 安全 系统 维护 配置 ; 


口 


A 
- 
入 


维 管理 工具 的 使 用 ; 
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1.6 USB 管 理 
2， 系统 维护 
3. 运 维 工具 
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介绍 如 何 配 置 策略 管理 业 


上 传 策 略 
策略 分 为 两 大 类 : 


0 检查 类 策略 - 终 噶 主机 安全 


策略 包 存 放 路 径 


配置 路 径 : 安全 规则 管 


BS 上 传 策略 -- 同 页 对 话 生 


理 > 策 略 配置 > 策略 上 传 加 策略 集合 


策略 包 为 Policy 
Package.zip 


WW HUAWEI 
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装 完 安全 管理 器 之 后 ， 安 全 管理 器 不 包 辣 任何 策略 。 管 理 员 必须 上 传 策略 后 ， 才 


在 安装 完 
能 通过 创建 策略 模板 向 终端 用 户 下 发 策略 ,~ 上 传 安全 策略 需 注 意 以 下 几 点 : 


0 修改 策略 的 名 称 或 策略 包 的 名 称 ， 将 导致 上 传 至 安全 管理 器 的 策略 不 可 用 。 请 幻 
修改 策略 的 名 称 或 策略 包 的 名 称 。 
当局 点 部 署 了 党 理 中 心 时 ， 安 全 管理 器 所 上 传 的 策略 必须 与 管理 中 心 所 上 传 的 策 

略 兼容 ， 管 理 中 心 才 能 同安 全 管理 器 成 功 下 发 策略 模板 。 

0 如 果 上 传 策 略 失败 ， 请 在 安全 党 理 器 的 “系统 配置 > 服务 器 配置 > FTP 服 务 器 配 
置 、 检查 FTP 服 务 器 的 参数 是 否 还 没 进行 配置 。 如 果 FTP 服 务 器 的 参数 已 经 配置 ， 
则 请 检查 并 确保 FTP 服 务 器 的 参数 是 正确 的 ， 再 尝试 上 传 策略 。 


口 


e。 场所 : 





新建 案 略 模板 


。 配置 路 径 : 安全 规则 党 理 > 策略 配置 > 策略 模板 ， 单 击 “ 增 加 
”配置 如 下 。 
举例 : 新 建 策略 模板 “研发 


族 必 模板 基本 信息 


部 ”该 模板 将 会 关联 若干 策 
略 ， 并 分 配 到 研发 部 门 


选择 父 模 板 ;  -- 无 -- M 


当前 位 置 : 安全 规则 管理 > 策略 配置 > 策略 模板 
| 策略 模板 管理 | 策略 模板 配置 [ 研发 部 。] * 
模板 名 称 个 查询 | 图 增加 | @ 吉 了 | 泌 导 入 


名 称 父 醒 板 来 源 
1 研发 部 


的 击 Qh 配置 策 赂 


WW HuAwel 


策略 模板 是 右 干 策略 的 集合 ， 为 了 审计 不 同 终端 主机 的 安全 状况 和 终端 用 户 的 行 
为 ， 管 理 员 需要 定制 不 同 的 策略 模板 用 于 保护 和 管理 终端 主机 。 当 终端 用 户 进行 
身份 认证 和 安全 检查 时 ?NAC Agent 执 行 与 终端 用 户 相 关联 的 策略 模板 中 的 所 有 
策略 。 


创建 策略 模板 的 前提 条 件 : 数据 库 处 于 正常 运行 状态 、 管 理 器 处 于 正常 运行 状态 
、 管 理 趴 已 经 成 功 登 录 管理 器 、 管 理 员 已 经 将 策略 上 传 至 管理 器 、 管 理 员 拥有 增 
加 策略 模板 的 操作 权限 。 


场所 是 指 终端 用 户 使 用 终端 安全 系统 接 入 受 控 网 络 办 公 时 的 终端 环境 , 随 看 网 络 的 
发 展 ， 终 端 用 户 的 办 公 场 所 越 来 越 多 样 化 ， 有 些 员工 在 公司 内 办 公 ， 有 些 员工 在 
家 里 办 公 ， 而 有 些 员工 长 期 出 甜 ， 办 公 地 点 不 确定 。 同 时 ， 终 端 用 户 接 入 网 络 的 
方式 也 各 有 不 同 ， 例 如 : 通过 局 域 网 、 无 线 网 络 、VPN 等 方式 接 入 。 在 进行 策略 
常理 时 ， 如 果 不 考 虑 终 问 用 户 的 场所 ， 将 可 能 导致 在 不 同 场所 下 终端 用 户 不 能 正 

单 接 入 受 控 网 络 办 公 


策略 中 心 黑 认 只 文 持 缺 省 场所 。 缺 省 场所 是 指 没有 定义 使 用 场合 的 场所 ， 表 示 不 
区 分 终端 用 户 的 使 用 场合 ， 当 按 场 所 进行 策略 管理 业务 时 ， 组 织 需要 根据 上 自己 的 
需求 联系 华为 技术 有 限 公司 工程 师 定制 相应 的 场所 文件 。 例 如 ， 定 制 在 线 和 离线 
场所 。 获 取 到 场所 文件 后 ， 管 理 员 需 要 在 管理 器 导入 场所 文件 。 


检查 防 病毒 软件 


。 单 击 策 略 名 称 “检查 防 病毒 软件 ”后 面 操 作 , 局 用 “ © ”再 
单 击 配置 “ 蔓 ”进行 配置 。 


举例 : 检查 策略 执行 参数 


yj 在 终端 显示 第 略 检 查 结果 JJ 出 现 严重 违规 则 禁止 接 入 网 络 
Symantec ER [warmsmuers 和 ms | 


离线 运行 7 下 斥 这 规 信 入 
防 病毒 软件 设置 检查 周期 为 (分 钟 ); |60 


是 否 安装 检查 防 病 毒 软件 列表 
如 果 出 现 严 
人 增加 人 删除 
重 违 规 y 则 a 南 毒 库 更 新 间 划 “所作 


A 入 Fa 人 一 人 EI 并 一 冰 - 
禁止 接 入 网 \ Symantec Symantec AntiVirus Corporate E... 10.0 15 上 


上 传 防 病毒 软件 配置 文件 出 党 两 重 违规 是 则 禁 
党 入 网络 
未 安装 或 者 未 运行 要 求 的 防 病毒 软件 违规 等 级 ; 
低 于 防 病毒 软件 要 求 版 本 或 病毒 库 设 有 及 时 更 新 的 违规 级 别 | 
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检查 终端 主机 是 否 安 冯 指定 的 防 病毒 软件 。 如 果 终 端 主 机 已 经 安 疹 防 病毒 软件 
， 该 策略 检查 防 病毒 软件 的 程序 版 本 号 \、 病 毒 库 是 否 及 时 更 新 、 防 病毒 软件 是 否 运 行 
。 如 果 终 站 主 机 未 安 关 指定 的 防 病毒 软件 ， 或 防 病毒 软件 不 符合 条 件 ，Agent 代 理 将 会 
记录 终端 主机 的 相关 信息 ， 并 将 违规 信息 上 报 至 数据 库 ， 供 管理 员 碍 阅 。 


检查 类 的 策略 主要 还 有 . 
5 检查 操作 系统 补丁 


a ”该 策略 检查 终端 主机 是 否 已 经 安 洲 Microsoft Windows 操 作 系 统 对 应 的 补丁 
。 如 果 终 端 主机 未 安装 对 应 版 本 的 补丁 程序 ，NAC Agent 将 记录 该 操作 系统 
的 相关 信息 ， 并 上 报 至 安全 控制 器 ， 供 管理 员 查 阅 。 


0 “检查 注册 表 配 置 


nm 介绍 检查 注册 表 配 置 策略 的 参数 配置 过 程 ， 及 注册 表 键 值 与 Microsoft 
Windows 防 火 墙 状态 、Microsoft Windows 上 自动 播 放 的 关系 ， 供 配置 注册 表 
策略 参数 时 参考 。 


0 检查 屏保 设置 


sa 检查 终端 主机 的 屏幕 保护 设置 是 否 符合 要 求 。 如 果 终 端 用 户 未 启用 屏幕 保 
护 功 能 ， 或 屏保 设置 不 符合 要 求 ， 则 该 策略 的 检查 结果 为 违规 


0 检查 文件 共 至 


a 检查 终 站 文件 共 主 的 账号 以 及 权限 是 否 符合 要 求 ， 并 提供 目 动 修复 功能 。 


检查 鹿 体 芭 置 


。 单 击 策略 名 称 “ 检 碍 屏保 设置 ”后 面 操 作 ， 局 用 “” 思 ”再 单 
击 配 置 “ 二 ”进行 配置 。 


检查 屏保 设置 
检查 终端 屏 再 保护 的 参数 设置 是 天 符合 要 求 ， 并 提供 自动 修复 功能 。 


局 在 终端 明示 第 略 检 查 结果 司 上 -出现 严 乔迁 规则 蔡 止 接 入 问 鲍 | 轩 ” 尼 用 自动 修复 


vj 上 报 违 规 信 息 
| 屏保 设置 密码 保护 离线 运行 
“要 求 屏保 时 间 设 置 不 能 高 于 (分 加); 10 


设置 检查 周期 为 (分 钟 ); 60 
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检查 终端 主机 的 屏幕 保护 设置 是 否 符合 要 求人 和 如果 终 端 用 户 未 局 用 屏幕 保护 功能 ， 或 
屏保 设置 不 符合 要 求 ， 则 该 策 s 略 的 检 查 箔 果 为 违规 。 


其 他 人 勾 选 项 详细 说 明 : 


。 在 终端 显示 策略 检查 结果 : 设置 是 否 允 许 在 终端 主机 的 代理 界面 上 显示 检查 结 
， 选 中 此 项 ， 人 允许 在 终端 主机 的 代理 界面 上 显示 检查 结果 ， 不 选中 此 项 ， 禁 止 在 
终端 主机 的 AGriet 代 理 界面 上 显示 检查 结果 ， 该 参数 默认 选中 。 


o ”出 现形 重 违 规则 禁止 接 入 网 络 : 设置 终端 主机 出 现 严重 违规 是 否 茶 止 接 入 网 络 ， 
选中 此 项 ， 当 检查 的 违规 等 级 为 “严重 ”时 ，SC 控 制 器 将 禁止 终端 主机 接 入 网 络 
不 选中 此 项 ， 当 检查 的 违规 等 级 为 “严重 ”时 ，SC 控 制 器 仍 允 许 终 端 主机 接 入 
网 络 ， 该 参数 默认 不 选中 。 


o ”启用 自动 修 设 置 终端 主机 出 现 违规 是 否 启 用 自动 修复 。 选中 此 项 ， 当 终端 主机 出 
现 违规 时 ，Agent 代 理会 自动 修复 其 违规 项 ， 不 选中 此 项 ， 当 终端 主机 出 现 违规 
时 ， 代 理 不 会 自动 修复 其 违规 项 ， 该 参 数 默 认 选 中 。 


0 离线 运行 : 设置 是 否 ee 选中 此 项 ， 表 示 在 代 
ee 略 ， 的 取消 选中 此 
， 表 示 在 代理 离线 运行 时 不 执行 该 策略 。 代 理 的 离线 运行 状态 包括 以 下 情况 


a 终端 主机 未 进行 身份 认证 。 
s。 终端 主机 进行 身份 认证 ， 但 身份 认证 失败 。 
=。 终端 主机 通过 身份 认证 后 ， 终 端 用 户 注销 登录 。 





监控 IP 访 问 


。 单 击 策略 名 称 “ 监 控 IP 访 问 ” 后 面 操作 ， 启 用 “ @ ”再 单 击 
配置 “ 全 ”进行 配置 。 


ns 
禁止 本 机 端口 回 保存 斋 军 千 

65000-65535 的 使 配 秆 监控 方式 

用 ， 同 时 也 不 容许 
访问 端 口 6 5000- 配置 只 能 访问 的 TCPjIP 端 口 规 则 
65535， 且 禁止 网 
上 邻居 互 访 。 


P/IP 端 口 规 则 列表 


ICMP 及 NetBIOS 规 则 配置 
^ 禁止 其 地 主机 Ping 本 机 
禁止 其 他 主机 Ping 本 机 


^ 禁止 本 机 Ping 其 他 主机 
禁止 本 机 Ping 其 他 主机 


yj 茜 止 其 地 主机 通过 网 上 邻居 访问 本 机 
yj 禁止 本 机 通过 网 上 邻居 访问 其 地 主机 
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略 检 查 是 否 允 许 通 过 指定 的 端口 通信 。 当 终端 宇 机 使 用 该 端口 通信 时，Agent 代 理 将 阻止 终 
机 使 用 该 端口 进行 通信 ， 同 时 记录 该 应 用 程序 的 相关 信息 。 违 规 信息 将 上 报 至 数据 库 ， 供 
员 查 阅 。 
类 策略 主要 有 
监控 DHCP 设 置 
a ”该 策略 监控 终端 主机 是 否 使 用 DHCP 的 方式 获取 地 址 。 
监控 非法 外 连 
sm ”该 策略 监控 终端 主机 是 否 非法 连 入 互联 网 。 当 终端 主机 存在 非法 连 入 互联 网 的 违规 
行为 时 ， 该 策略 可 以 阻 断 终端 主机 与 违规 代理 服务 器 或 网 络 的 连接 ， 并 记录 终端 主 
机 的 违规 信息 ， 将 违规 信息 上 报 至 安全 控制 器 ， 供 管理 员 查 阅 。 
监控 屏幕 拷贝 
sm 该 策略 提供 禁止 终端 用 户 使 用 拷 屏 键 的 功能 。 如 果 终 端 用 户 使 用 “Prtsc 或 
“Alt+Prtsc 找 屏 键 规 取 屏幕 ，NAC Agent 将 会 禁止 终端 用 户 截 取 屏 幕 的 行为 。 
监控 访问 站 点 
sm ”该 策略 监控 终端 用 户 访 问 网 站 的 行为 。 当 终端 用 户 访 问 设 定 的 网 站 时 ，NAC Agent 
将 根据 预先 设置 的 控制 动作 决定 是 否 人 允许 终端 用 户 继续 访问 该 网 站 ， 并 记录 该 站 点 
的 相关 信息 。 违 规 信息 将 上 报 至 安全 控制 器 ， 供 管理 员 查 阅 。 
监控 系统 设备 


= 该 策略 设置 是 否 允 许 终 端 用 户 使 用 系统 设备 (如 打印 机 、 蓝 牙 、 红 外 、SD/MMC 控 
制 器 等 ) 。 如 果 终 端 用 户 使 用 这 些 受 控 设 备 ，NAC Agent 将 会 记录 终端 用 户 使 用 这 
些 受 控 设备 的 行为 。 违 规 信息 将 上 报 至 安全 控制 器 ， 供 管理 员 查 阅 。 


监控 非法 外 连 


。 单 击 策略 名 称 “ 监 控 非 法 外 连 ” 后 面 操作 ， 启 用 “ 息 ”再 单 
击 配置 “ 例 ”进行 配置 。 


监控 非法 外 <| 
内 控 终 六 的 代理 服务 器 设置 和 上 由 是 否 符合 要 求 ， 并 提供 终端 系统 和 指定 网 络 地 址 之 间 的 连通 
性 检查 . 
策略 执行 参数 
避 在 终 揣 显示 策略 检查 结果 高 线 运行 
允许 通过 合法 路 径 连 接 外 网 辐 禁止 访问 外 网 


外 网 目标 地 址 或 域名 ,如 : www,balidu,cornm'B0 
172.168.100.188:80( 用 ";" 分 

隔 多 个 地 址 ): 

ee 

如 : 172.168.100.188 

(用 分隔 多 个 地 址 ): 


在 配置 区 许 通过 合法 路 径 连 接 外 同时 ,如 果 终 端 到 外 网 目的 IP 设 有 既 过 合法 的 路 由 IP 或 者 终端 配置 了 非法 的 
代理 服务 Fe 该 综 靖 存在 非法 外 连 。 

外 网 时 ,如 果 终 冰 可 以 与 目标 地 址 建立 连接 , 则 认为 该 终端 存在 非法 外 连 ; 

Ye 是 定 向 时 ， 如 防火 雯 Web 推 送 4 需要 配置 web 重 定向 服务 器 地 址 ， 吉 免 非 法 外 连 检查 错误 


<| = = = 


» 
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该 策略 监控 终端 主机 是 否 非法 连 入 互联 网 。(C 当 终端 主机 存在 非法 连 入 互联 网 的 违规 行 
为 时 ， 该 策略 提供 阻 断 与 违规 代理 服务 器 或 网 oe 连接 ， 并 记录 终端 主机 的 违规 信息 
将 违规 信息 上 报 至 数据 库 ， 供 管理 员 查 阅 。 


分 姨 东 上 略 模 板 


。 单 击 策略 模板 ， 模 板 “ 研 发 部 ”分配 “ 加  ， 分 配 策略 模 析 
到 部 门 


分 配 策略 种 板 
分 配给 场所 : ” 缺 省 场所 
分 配给 部 门 分 配给 账号 分 配给 终端 IP 地 址 范围 
登 ,部 门 树 加 部 门 列表 全 移 除 @ 查 鹿 
部 门 描述 


1 ROOTIGuesI\ 研 发 部 
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应 用 策略 模板 是 指 将 定制 好 的 策略 模板 应 用 巴 攻 个 部 门 ， 该 部 门 会 继承 该 策略 模板 的 
所 有 配置 信息 。 为 部 门 配置 策略 模板 能 够 统计 整个 部 门 的 终端 安全 状况 ， 审 计 终 端 用 
户 的 行为 。NAC Agent 将 会 定期 问安 全 控制 器 请 求 更 新 策略 模板 ， 根 据 更 新 后 的 策略 参 
数 确定 何 时 开始 执行 策略 ， 以 检查 终端 主机 的 安全 状况 或 审计 终端 用 户 的 行为 。 

如 果 不 同 的 策略 模板 分 别 应 用 到 部 门 、 账 号 和 终端 iP 地 址 范围 ， 则 优先 级 最 高 者 所 分 配 
到 的 策略 模板 将 会 生效 尽 部 门 、 账 号 、 终 端 IP 地 址 范围 的 优先 级 关系 为 : 账号 > 终端 IP 
地 址 范围 > 部 [从 不 建议 同时 为 部 门 和 终端 iP 地 址 范围 分 配 策略 模板 。 


1.2 用 户 与 终端 





1.3 软件 分 发 管理 
ED 十 八 | 四 AL 1 二 十 





) Ar 一 人 一 /mA TT 
1 / | ‘~ 六 re 了 1 十 田 ] 
“ nn 1 本 


二 = = 


1.6 USB 管 理 


2. 系统 维护 


3. 和 运 维 工具 
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e@ 部 门 信息 管理 功 能 是 


能 是 为 了 方便 管理 员 在 管理 器 中 建立 企业 的 组 织 结 构 。 管 理 器 中 的 一 

个 部 门 对 应 于 企业 中 的 一 个 部 门 。 通 过 在 管理 器 中 维护 部 门 中 的 信息 ， 管 理 员 能 够 集 
中 管理 部 门 信息 、 员 工 信 息 和 资 蕊 信息 \。 

。 管理 终端 用 户 是 指 管理 员 对 企业 或 部 门 内 部 的 员工 信息 进行 集中 维护 和 管理 。 当 新 员 

工 加 入 部 门 时 ， 管 理 员 负 责 将 员工 的 相关 信息 录入 管理 器 。 

动 时 党 理 员 需 要 修改 员 下 信息 


~ /人 入 O 


当 员 工 的 工作 岗位 发 生 调 
员工 群 职 后 ， 和 党 理 员 需 要 删除 该 终 痕 用 户 的 信息 。 


部 | 用户 堂 理 


。 部 门 信 息 管 理 功能 是 为 了 方便 管理 员 在 安全 管理 器 中 建立 企业 的 组 
pw 安全 管理 器 中 的 一 个 部 门 对 应 于 企业 中 的 一 个 部 门 。 通 过 
在 安全 管理 器 中 维护 部 门 中 的 信息 ， 管 理 员 能 够 集中 管理 部 门 信息 
、 ee 蝶 和 资产 信息 。 


部 门 名 称 : “| 输入 后 按 加 车 查访 部 门 * 部 门 名 称 ; ”研发 部 


;深圳 
3 上 EROOT 
3 SGuest 同 江 :1312467 


: _ lfengzjhw@huawei.com 
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Policy Center 文 持 通 过 部 门 来 管理 用 户 和 账号 信息 。 通 过 创建 部 门 和 导入 部 门 信息 2 种 方 
式 能 够 增加 部 门 。 


用 户 信息 ， 包 括 用 户 名 


当前 位 置 : 部 门 设 状 管 理 > 部 门 用 户 > 部 门 用 户 管理 


日 局 部 门 用 户 
一 部 门 名 称 : | 名 | 用 户 


部 门 用 户 管理 
账号 角色 管理 忆 世 ROOT 
在 线 用 户 管理 


单 击 “ 增 加 ”为 研 


发 部 门 添加 用 户 PS 
用 户 ID: 

职务 : 

办 公 电 话 ; 

移动 电话 : 

办 公 地 址 ; 

Emalil: 


描述 ; 
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( 必 填 项 ) 、 用 户 ID、 


| 光 玫 加 Wf | @ 坦 询 | 多 排序 | 纺 用 户 转移 职务 等 。 


余 雷 
39386686421 
主管 


yuleiGhuawei,corn| 


通过 创建 终端 用 户 和 导入 终端 用 户 信 息 2 种 方式 能 够 增加 终端 用 户 。 


设置 终端 用 户 的 ID， 不 能 与 已 存在 的 终端 用 户 ID 重 复 ， 最 大 长 度 为 50byte， 由 于 安全 管 
理 器 人 允许 终端 用 户 存在 同名 的 情况 几 户 ID 适用 于 通过 姓名 以 外 的 方式 唯一 标识 一 个 终 


由 用 户 ， 例 如 终 站 用 户 的 工 号 s 


增加 账号 


3 “站 部 门 用 户 
部 门 用 户 管理 
账号 角色 管理 
在 线 用 户 管理 


部 站 用 户 
@@ 培 hl | 合 卫 | 全 要 站 | 加 排序 | 从 内 户 转移 
用 户 名 


余 雷 


基本 信息 ， RADIUS 信息 
* 账 号 : 
* 密 码 : 
* 确 认 窗 码 : 
纤 定 IP: 
纤 定 MAC: 
纤 定 INMSI' 
绑 定 硬盘 序列 号 : 
账号 过 期 时 间 ; 
所 属 角 色 ,: 
账号 停 用 : 

下 次 登录 修改 密码 : IY 

妈 用 于 移动 证 书 认 证 ; 


登录 类 型 : 以 Web 忆 Agent |Y| Web agent 
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普通 账号 : 
oO 普通 账号 是 管理 员 在 管理 器 的 指定 部 | 门 和 指定 终端 用 户 下 创建 的 账号 ， 终 端 用 户 在 认证 
时 需要 提供 账号 和 密码 ， 普 通 账号 支持 Agent 代 理 、Web Agent 搬 件 和 Web 客 户 端 三 种 认 
证 方式 。 
MAC 账 号 : 
oo MAC 账号 是 管理 员 和 在 管理 器 的 指定 部 门 和 指定 终端 用 户 下 利用 终端 主机 的 MAC 地 址 创建 
的 账号 ， 终 端 用 户 必 须 在 与 MAC 账 号 对 应 的 终端 主机 上 才能 认证 通过 ，MAC 账 号 只 支持 


Agent 代 理 认证 方式 。 
其 他 参数 说 明 


oO 绑 定 IP 小 设置 终端 用 户 是 否 只 能 使 用 当前 账号 从 指定 IP 地 址 的 终端 主机 进行 身份 认证 。 普 
通 账 号 最 多 允许 绑 定 10 个 IP 地 址 ， 多 个 IP 地 址 之 间 使 用 半角 逗号 分 隔 。 

oO \ 绑 定 MAC， 设 置 终端 用 户 是 否 只 能 使 用 当前 账号 从 指定 MAC 地 址 的 终端 主机 进行 身份 认 
证 。 只 有 通过 Agent 代 理 方 陈 接 入 受 控 网 络 的 账号 才 文 持 MAC 地 址 绑 定 功能 。 其 中 MAC 地 
址 的 账号 格式 为 “xx-XX-xx-Xx-Xx-Xxx ，“x“ 为 “0~9" 或 “A~F" ， 表 示 十 六 进 制 数 。 

oO ”账号 过 期 时 间 ， 设 置 账号 在 什么 时 候 过 期 ， 过 期 的 账号 将 会 失效 ， 无 法 通过 身份 认证 。 

oO 账号 停 用 ， 选 择 是 否 禁 止 该 账号 进行 身份 认证 。 只 有 普通 账号 和 MAC 地 址 账号 才能 支持 
账号 俘 用 功能 。 

0 下 次 登录 修改 密码 ， 设 置 该 账号 在 下 次 登录 时 是 否 需要 修改 密码 。 

oO 仅 用 于 移动 证 书 认 证 ， 当 该 账号 可 以 用 于 移动 证 书 认 证 时 ， 设 置 是 否 限制 该 账号 只 能 用 
于 移动 证 书 认证 ， 不 能 再 使 用 其 他 认证 方式 。 选 中 此 项 ， 表 示 限 制 该 账号 只 能 用 于 移动 
证 书 认 证 。 


匿名 用 户 管理 


。 匿名 认证 是 指 终端 用 户 不 需要 认证 账号 和 密码 ， 在 指定 的 网 络 区 域 
通过 配置 支持 匿名 认证 的 登录 类 型 即 可 完成 认证 的 一 种 认证 方式 , 管 
理 器 自动 创建 一 个 名 称 为 “~anonymous 的 专用 账号 


配置 路 径 


9 禁止 终端 用 户 匿 名 认证 。 
允许 终端 用 户 汇 名 认证 ,管理 员 可 对 巷 名 用 户 进 行业 务 分 配 和 管理 。 
允许 匿名 认证 的 登录 类 型 


起 始 IP 地 址 结束 IP 地 址 
1 0.0.0.0 255.255.255.255 


Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 15 bb HUAVWEI 





匿名 认证 方 陈 适用 于 组 织 机 构 在 全 局 范围 或 局 部 范围 内 无 须 鉴 别 终端 用 户 的 身份 ， 终 
帽 用户 通过 匿名 方式 进行 认证 的 场合 。 例 如 ， 临 时 接 入 的 终端 用 户 数量 较 多 ， 或 者 在 
开始 推广 终端 安全 系统 阶段 ， 管 理 员 可 能 无 法 及 时 分 发 大 量 的 账号 而 导致 终端 用 户 无 
法 及 时 接 入 受 控 网 络 ， 进 而 影响 终 冰 用 户 办 公 。 采 用 匿名 认证 能 够 降低 管理 员 维 护 部 
门 和 账号 信息 的 成 本 。 对 于 终端 用 尸 ， 特 别 是 访客 ， 不 需要 申请 和 记忆 特定 的 账号 和 
密码 ， 使 得 终 端 用 尸 能 够 更 容易 、 方 便 地 通过 认证 ， 并 接 入 到 受 探 网络。 


在 安 衣 策略 中 必 了 有 管理 器 目 动 创建 一 个 名 称 为 “~anonymous 的 专用 账号 。 在 默认 
情况 下 ， ”anonymous "处 于 禁用 状态 。 管 理 员 通 过 启用 匿名 认证 方式 激活 “一 
anonymous 账号 。 同 时 ， 代 理 、Web Agent 插 件 和 Web 客 户 的 认证 方式 列表 自动 增加 
匿名 认证 方式 供 终 端 用 户 选 择 。 


与 普通 账号 一 桩 ， 管 理 员 能 够 为 “~anonymous 账号 分 配 接 入 控制 、 策 略 模板 、 补 丁 

模板 、 软 件 分 发 等 业务 ， 从 而 指定 了 匿名 用 户 在 访问 受 控 网 络 时 应 遵循 的 安全 规则 ， 

使 得 终端 用 户 通过 匿名 认证 方式 接 入 内 网 后 能 够 在 权限 范围 内 访问 受 控 资源 ， 和 避免 没 
合法 权限 的 用 户 对 受 控 网 络 的 安全 造成 威胁 。 

由 于 匿名 认证 存在 业务 审计 困难 的 特点 ， 匿 名 认证 通常 需要 在 受 限 的 环境 中 中 使 用 ， 

避免 权利 被 滥用 。 管 理 员 可 以 通过 IP 地 址 段 开 明确 匿名 认证 适用 的 范围 ， 确 保 在 受信 任 

的 环境 中 才能 适用 匿名 认证 ， 其 他 范围 依然 启用 身份 认证 。 


在 线 用 户 党 理 


强制 下 线 
查看 终端 违规 信息 
查看 终端 状态 


远程 协助 


| 当前 位 置 : 部 门 设备 管理 > 部 门 用 户 > 在 线 用 户 管理 
Se Er 
部 门 用 户 管理 9 90 了 Pe 7 站 


几 账号 部 站 登录 服务 器 登录 IP MAC 
onli lfeng640.. ROOTIGues\. 1.1.1.2 
在 线 用 户 管理 > 


认证 方式 登录 方式 登录 时 间 安全 检查 结果 终端 操作 系统 操作 
192.168.3.1  E8-9A-8F-80-.。 普通 认证 Agent 2013-09-27.. 无 违 栅 Windows 7 (32.. 隔 辐 加 
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。 管理 器 提供 查询 在 线 用 户 功 能 ， 能 够 帮助 管理 
定 用 户 及 账号 的 信息 。 


前 违规 信息 


终端 违规 信息 


六 








检查 文件 共享 (记录 数 2) 











是 入 3|5 区 分 EA 小 (MB) 谨 扩 桥 明 权 梨 
下 


检查 防 病毒 软件 (记录 数 :1) 
里 志和 

i 

监控 DHCP 设 置 (记录 数 :1) 


是 否 设置 DHCP 网卡 信息 
否 MACadtessE9ASFB0LC6BIPAdinssl9lb3 
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。 可 以 查看 到 终端 违规 情况 





查看 终端 杖 态 
仿 刷新 


蝇 完 终端 基本 信息 
和 @ 支 装 的 软件 列表 
外 系统 补丁 列表 用 户 基本 信息 
入 共享 目录 列表 


: 李 锋 ifeng64015 
Sm | BO Keonevennas St 


了 Agent 192.168.3.1 
外 进程 列表 
E8-9A-8F-B0-C6-BO : 2013-09-27 16:40:03 
和 @ 网 卡 信息 


和 @ 东 统 湛 口 列表 
操作 系统 信息 : Microsoft Windows 7 Ulkimate Edition Service Pack 1 (build 7601), 32-bit 


内 存 
System Memory Size: 1889 MB 


CPU 


处 理 器 信息 : Intel(R) Pentium(R) CPU B940 @ 2.00GHz ; Intel(R) Pentium(R) CPU B940 @ 
| 2.00GHz ; 
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冬 病 i 用 户 、 操作 系统 、 内 存 、 CPU 等 伪 言 屋 :。 


访 各 管 


Switch 


定制 一 一 > 注册 一 一 > 审批 创建 二 一 > 分 发 一 一 > 认证 一 一 > 审计 及 注销 

"” 注册 页 面 定 制 ”， 手工 创建 "自动 审批 "” 手机 SMS "” 用 户 名 /密码 认证 *” 用 户 上 下 线 审计 

” 认证 页 面 定制 ” 助 申请 ” 管理 员 审 批 "Email "passcode 认 证 = ”网 行为 审计 

” 模板 定制 "” 接待 人 审批 " Web "vlan/acl 权 限 隔离 * 到 期 后 自动 注销 
” L3 层 GRE * 定时 清理 账 旦 


SS 
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访客 账号 是 组 织 机 构 专 门 为 来 访客 人 准备 的 账号 ， 用 于 验证 来 访客 人 的 身份 是 否 合 法 。 
来 访客 人 通 党 包括 合 作 人 员 、 客 户 等 。\ 访 客 账 号 通 音 为 临时 性 账号 ， 同 时 授予 较 低 网 
络 访问 。 


应 用 场景 
ee a 
动 审批 通 过 ,< 快速 获得 密码 ， 访 客 使 用 手机 号 和 密码 认证 通过 后 即 能 接 入 网 络 。 


D 场景 二 : 访客 自助 申请 账号 并 经 过 审批 : 访客 提交 账号 申请 ， 待 接待 员工 或 管理 
员 审 批 通 过 后 ， 访 客 使 用 账号 和 密码 认证 通过 后 即 能 接 入 网 络 。 


0 ` 场 景 三 : 接待 员工 创建 访客 账号 : 接待 员工 移 创 建 好 访客 账号 ， 访 客 来 访 后 ， 接 
从 员工 和 号 和 过 邮件 或 短信 通知 访客 ， 访 客 使 用 账号 和 密码 认证 通过 后 
能 接 入 网 络 0° 


D 场景 四 : 上 自动 生成 并 打印 访客 账号 : 用 户 在 企业 内 部 排队 等 竺 办理 业 务 ， 企 业 为 
提升 客户 满意 度 为 用 户 提供 无 线 网 络 接 入 服务 ， 用 户 在 打印 排 号 票 时 同时 获得 系 
统 月 动 生成 的 访客 账号 ， 该 账 呈 是 用 户 获取 网 络 访问 权限 的 赁 证。 该 种 场景 下 
企业 的 0 策略 管理 中 心 的 接口 目 动 创建 访客 账号 并 打印 在 排 号 票 
接口 的 调用 说 明 请 见 产品 文档 “北向 接口 


访 各 账 号 管理 流程 
| > (me 


。 定制 认证 页 面 自动 审批 
。 地 址 注册 页 面 。 接待 员 审 批 
。 管理 员 审批 


账号 审计 和 管理 


管理 员 或 接待 。 WEB 通 知 。 账号 密码 认 审计 用 户 上 下 线 
员 创 建 。 短信 通知 证 记录 
。 创建 单个 账号 。 邮件 通知 。 Passcod 认 证 。 到 期 注册 账号 
。 创建 批量 账号 。 手机 号 认证 。 定期 清理 账号 
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访客 账号 管理 方式 : 
oO 自助 申请 方式 是 指 访客 来 访 后 八 访问 认证 或 注册 页 面 ， 提 交 访 客 账号 申请 ， 并 由 
接待 员工 或 管理 员 审 批 通过 或 自动 审批 通过 。 


0 接 每 员工 或 管理 员 创建 访客 账号 是 指 在 访客 来 访 前 ， 接 每 员工 或 绾 理 员 先 创建 访 
客 账号 ， 访 客 来 雇 后 可 以 直接 使 用 账号 认证 ， 无 需 再 申请 


访客 账号 管理 的 流程 


口 


0 页 面 定 制 , 账号 申请 和 审批 ， 账 号 创建 访客 账号 可 以 由 访客 目 助 申 请 ， 也 可 以 由 
管理 员 或 接待 员工 直接 创建 ， 目 助 申请 时 ， 访 客 通过 访客 认证 页 面 进入 注册 页 面 
， 或 者 直接 在 注册 页 面 提 交 申 请 ， 访 客 认 证 页 面 和 注册 页 面 由 管理 员 事 移 定 制 好 
.定制 页 面 时 还 可 以 配置 申请 的 审批 模式 : 自动 审批 ， 管 理 员 或 接待 员工 审批 。 
0 账号 分 发 访客 账号 创建 完 或 审批 通 服务 器 在 Web 页 面 通 苔 或 发 送 短 信 、 邮 


件 通 知 访客 
oO 账号 认证 获知 账号 和 密码 后 ， 访 客 即 能 认证 并 接 入 网 络 。 


oO 账号 审计 和 管理 访客 接 入 后 ， 管 理 员 可 以 审计 访客 的 上 下 线 记 录 ， 配 置 账 号 有 效 
期 并 上 自动 注销 和 清理 过 期 账号 


访 各 管理 臣 置 流程 


。 访客 自助 申请 访客 账号 
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。 本 沉 程 图 是 目 主 访客 申请 的 配置 沉 程 ， 管 理 员 审批 。 


\ NY 
访客 参数 设置 
兰 ， 选 择 启用 访客 注册 申请 ， 单 击 选择 研发 部 为 默认 访客 部 门 ， 单 
击 “确定 ” 。 


当前 位 置 : 用 户 与 终端 > 访客 管理 > 参数 配置 


基本 参数 配置 


访客 账号 申请 :| @ 启用 ， 人 允许 终端 用 户 提交 访客 账号 申请 


禁用 ,不 允许 终端 用 户 提交 访客 账号 申请 
+ 访客 默认 部 门 ， ROOT 研发 部 色 回 
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。 注意 : 访客 管理 功能 默认 是 开局 的 。 研 发 部 的 访客 用 户 在 喘 份 认 证 和 安全 检查 通过 后 
能 够 访问 研发 部 的 网 络 资产 。 


访 各 通知 模板 配置 


选择 “用 户 与 终端 > 页 面 定制 > 访客 通知 模板 定制 ” 


修改 访客 通知 模板 


标题 : ”您 申请 的 账号 已 审批 


: 您 的 访客 账号 :$faccount} <br> 密 
码 :${password}<br> 账 号 生效 时 
间 :$tbeginValidpPeriod}j<br> 账 号 到 期 时 
间 :${validPeriod} 
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。 访客 申请 的 账号 审批 通过 后 ， 服 务 器 按照 通知 模板 回访 客 发 送 邮件 或 短信 。 管 理 员 可 


以 定制 不 同 模 板 ， 例 如 ， 2 关 邮 件 或 短信 时 按 不 同 模板 发 送 ， 或 使 用 不 同 语种 向 不 同 
用 户 发 这 


访 各 认证 页 面 定制 


。 选择 “用 户 与 终端 > 页 面 定制 > 认证 页 面 定 制 ”， 扣 击 “增加 * 


ee 选择 认证 类 型 、 认 证 页 
SEE 面 语言 以 及 是 否 启用 匿 
ed 名 认证 ， 其 他 参数 默认 。 


示 是 : Web 认 证 


图 片 推荐 大 小 : 660px=345px 
“Zw mm 


Ap /eT 7 A de NAF Mk ht /hr TY 


取消 
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。 模板 设置 : 可 设置 标题 、 修 改 认证 界面 图 片 等 。 


访客 注册 页 面 定 制 


用户 与 终端 > 页 面 定制 > 注册 页 面 定 制 ”， 扣 击 “增加 * 
勾 选 注册 页 面 显示 内 容 


: reqgster_default 
:regster_ 让 
语言 : 地 中 文 


2 E 1 
图 片 推荐 大 小 : 40Dpx*95px , 自 定义 字段 2 
自 定义 字段 3 
自 定义 字段 4 


Policy Center tt 


世人 


HUAWEI 


“太吉 文字 : ”华为 技术 有 限 公司 
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勺 选 了 相应 的 选项 ， 在 访客 注册 界面 将 会 出 现 该 选项 ， 如 果 审 批 方式 是 接待 人 ， 则 接 
待人 选项 必 选 


访 各 注册 页 面 定 制 


。 用 户 与 终端 > 华为 研发 > 局 级 定制 ， 默 认 设置 ， 单 击 “ 保 存 并 下 发 ， 


当前 位 置 : 用 户 与 终 英 > 页 面 定制 > 注册 页 面 定 制 


3 生 证 其 页 站 朗 预 咯 | 高 级 定制 | 兵权 配置 
| Policy center = 
司 华 为 研发 高 级 定制 


忆 |registe! 英 文 ee ER 忆 
司 reglster 中 广 <% 名 page langu3age= "java" pageEncoding= "utf-9" isErrorPage= "false"% > 
司 register_telephone 英 文 。 <IDOCTYPE HTML PUBLIC "-{/W3Cf/DTD HTML 4.01 Transitional/fEN" "http: /fywww.w3,org/ TRfhtml4 /fioose.dtd"> 
忆 |register_telephone 中 文 “<html> 
<head> 
<meta name= "viewport" content= "User-scalable=no, width=device-width, initial-scale=1,rmaximum-scale= 1,minmun-scale=1" /> 
<meta http-equiy="X-UA-Compatible" content="IE=firefox"> 
<meta http-equiv="X-UA-Compatible" content= "IE=EmulatelE6" /> 
<meta http-equiv= "X-UA-Compatible” content="IE=EmulatelE7" {> 
<meta http-equiy="X-UA-Compatible” content= "IE=EmulatelE8" /> 
<meta http-equiy="X-UA-Compatible" content="IE=EmulatelE9" /> 
<meta http-equiv= "Content-Type” content= "text/html; charset=UTF-8" /> 
<jnk rel= "stylesheet” href=",,/,, /material/css/register,css” type= "text/css” > </ink> 
<jnk rel= "stylesheet” type= "text/css” href=",,/,,/resourcesicss/ext-all,.css” /> 
<%Ginclude fle=",./../material/config/registerparameter_zh.jsp” %> 
<script type= "text/javascript” src=",,/,,/scripts/ext/adapter/ext/ext-base.js”> «</script> 
<script type= "text/javascript” src=",,/,,/scripts/ext/ext-al.js"> </script> 
<Sscript type= "text/javascript” src=",,/,,/rmaterial/is/register_ zh.js”"></script> 
<Iink type= "Image/x-icon" href=",,/,,/rnages/eSight/default/layout/logo_huawei,ico” rel=" 
<title>Web 注 册 </title> 
zf 人 hPa 





高 级 定制 ， 则 可 以 通过 修改 代码 ， 增 加 目 定 区 选项 及 界面 ， 完 成 后 需 单 击 保存 下 发 。 


访客 注 册页 面 定 制 


。 用 户 与 终端 > 华为 研发 > 策略 配置 ， 配 置 如 下 ， 单 击 “ 保 存 ” 


当前 位 置 : 用 户 与 终 访 > 页 面 定制 > 注册 页 面 定 制 
SN 预览 | 高 包 定 制 | 策略 配置 

¢;| Policy center 

局 | 华为 研发 审批 模式 : | 

所 | register 英 文 

避 | register 中 文 

总 | register_telephone 英 文 

局 | reyister_telephone 中 文 

^ 了 胀 号 通知 方式 策略 


+ 访客 账号 通知 方式 : | [VY] Web 
二 | 邮件 
短信 


^ 登录 类 型 策略 


+ 登录 类 型 : vj Web 
Agent 
Web agemt 


^ 胀 号 所 尾 角 色 部 门 策 略 


-em ER 2 a 
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。 注意 配置 审批 方式 、 访 客 登陆 方式 。 


配置 Portal 页 面 推送 规则 


。 选择 “用 户 与 终端 > 页 面 定制 > Portal 页 面 推送 规则 ” 
“增加 ”， 输 入 如 下 图 参数 单 击 “确定 ” 


修改 Portal 页 面 推送 规则 = Portal 页 面 推送 条 件 
IT 


^ 基本 参数 
* 名 称 华为 研发 


答 端 贡 备 尖 型 从 数 


说 明 ， 
。 Porta 页 面 推送 条 件 ; 至 少 配置 一 种 推送 条 件 ， 
e URL 地 址 ; SERVER-IpP 代 表 SC 服 务 器 地 址 ， 自 动 推送 到 对 应 SC 服务 器 URL， 
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注意 : Portal 页 面 推 送 条 件 ， 必 须 配 置 一 项 , ( 余 站 设备 类 型 按照 终端 操作 系统 选择 。 


访 各 注册 


e 所 有 访客 统一 通过 Portal 页 面 http://server-ip:8080/portal 注 册 ， 
注册 界面 ， 输 入 账号 、 密 码 、 验 证 码 等 ， 单 击 “ 注 册 ” 


Wh ai 

NE Policy Center wa Policy Center 
账 号 : lifeng99641 
密码 : jlifeng86 


华为 技术 有 限 公 司 


English 


单 击 “ 认 证 ”可 
直接 进入 认证 界 


华为 技术 有 限 公 司 面 
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完成 账号 、 窗 码 等 输入 后 ， 单 击 注册 ， 出 现 界面 显示 账号 及 密码 信息 ， 对 于 访客 用 户 
建议 保存 账号 及 密码 ， 等 竺 审批 。 


审批 


Lm | 
UY 


党 理 


当前 位 置 上 用 户 与 终端 > 访客 管理 > 账号 审批 
0 去 询 
访客 风 号 


1 lifeng99641 


访客 姓名 接待 人 账号 


lifeng 


> Ei "EE: Sa 
基 了 手 仿 妃 

访客 账号 : 

访客 姓名 : 

统 定 IP: 

有 效 时 间 ( 小 时 ) 

自 定义 字段 1: 

自 定义 字段 3: 

自 定 义 字 段 5: 

中 请 原因 : 


审批 仿 息 


* 访 客 账号 : 
人 
间 ; 


有 效 时 间 ( 人 小 时 ): 

绪 定 IP: | 旨 定 ] 
弧 定 MAC: 
访客 账号 所 怀 角 
色 : 


+ 登录 类型 : 以 Web Web agent 


访客 屿 号 所 犀 部 
『 


Agent 


ROOT\Guest\ 研 发 部 


https://1.1.1.2:86443/0PHMUI/ j=sp/ secospace/visitor 
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单 击 此 处 ， 审 
批 访客 申请 


访客 账号 所 属 部 门 。 ”申请 时 间 
ROOTIGuest 研 发 部 2013-09-29 10:44 


账号 过 期 时 间 当前 状态 


待 审批 


接 竺 部 门 
2013-09-29 10:44:08 


| 首次 登录 修改 密码 
RADIUS 参数 绑 定 | 加 增加 | @ 删除 
RADIUS 客户 端 地 址 ”端口 号 


拒绝 || ”关闭 \ 
Sp?rand-1360422750703&visitorAccount-1i1 | @ eS 
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注意 : 在 审批 建议 栏 输入 审批 建议 ， 单 击 “批准 ”, 审 批 通过 后 在 访客 账 
可 以 通过 邮件 、 短 信 等 通知 访客 审批 信息 。 


Jl0 


访客 认证 


。 进入 认证 界面 ， 输 入 注册 账号 和 密码 ， 单 击 “ 认 证 ” 


安全 认证 安全 认证 


:lifeng99641 登录 时 间 : 2013-09-29 10:51:40 
账 吕 即 将 过 期 : 2013-09-29 18:47:38 
码 : 账 号 :; lifeng99641 
. e0999999 用 户 IP: 1111 


证 胡 : 1、 在 线 过 程 中 请 不 要 关闭 该 窗口 
ed 八 2 、 如 果 窗 口 被 检 盖 ， 清 重新 登录 
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。 在 IE 地 址 栏 输入 http://server-ip:8080/portal, (会 推送 出 注册 界面 ， 然 后 单 击 注册 按钮 右 
下 侧 “ 认 证 ”按钮 ， 进 入 认证 界面 。 


。 认证 成 功 后 界面 不 要 天 闭 ， 人 否则 需 重 新 登陆 。 


设备 害 理 -参数 设置 


。 配置 路 径 : 用 户 与 终端 > 设备 管理 > 参数 设置 ， 局 用 设备 识别 、 手 工 
注册 、 目 主 绑 定 MAC， 单 个 用 户 可 注册 的 设备 数量 为 10。 


当前 位 置 : 用 户 与 终端 > 设备 管理 > 参数 配置 
参数 配置 
终端 设备 识别 。 加 启用 ,终端 设备 识别 功能 开启， 系统 会 根据 探 针 消 息 自 动 识别 终端 设备 
禁用 ,终端 设备 识别 功能 关闭 ,系统 不 会 识别 终端 设备 
手工 注册 终端 设备 图 启用 ， 人 允许 手工 注册 终端 设备 
禁用 ， 不 允许 手工 注册 终端 设备 
自动 绑 定 MAC 地 址 ; 加 启用 ， 注 册 终端 设备 时 ， 会 自动 绑 定 MAC 地 址 到 当前 账号 中 
, 注册 终端 设备 时 ,不 会 自动 饰 定 MAC 地 址 到 当前 账号 中 
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为 了 帮助 管理 员 了 解 网 络 中 存在 的 设备 及 其 详细 信 


县 ) 需要 通过 策略 管理 中 心 
对 网 络 进行 设备 探测 和 识别 ， 以 便 管 理 员 对 设备 进行 分 安 设 备 


员 
rt 组 进行 认证 和 授 


昨 下 


设备 识别 是 网 络 管理 最 基本 任务 之 一 ， 通 过 主动 查询 或 逢 动 侦 测 来 分 辨 将 要 接 入 网 络 
的 设备 类 型 、IP 地 址 、MAC 地 址 、 广 商 、 操 作 系 统 等 设备 信息 ， 方 便 管理 员 按 设备 类 型 
进行 分 组 ， 并 对 设备 进行 认证 和 授权 。 


策略 管理 中 心 识别 设备 的 目的 是 根据 用 户 使 用 的 终端 设备 类 型 进行 授权 ， 使 不 同类 型 
的 设备 接生 时 拥有 不 同 的 网 络 访问 权限 。 


设备 官 理 - 炽 别 来 略 


。 用 户 与 设备 > 设备 管理 > 识别 策略 ， 在 左 侧 对 话 框 ， 点 击 策略 
选择 Windows， 局 用 Windows 操 作 系 统 设备 识别 。 


当 首 位 置 : 用 户 与 终端 > 设备 管理 > 识别 策略 
策略 列表 


> nows 纱 薪 用 疡 导入 
ee Windows XP Policy forWindows XP 
局 | Windows Server 2003 NCOWS OU tor OWS 
局 Windows Server 2008 Windows Vista Policy for Windows Vista 
3 Windows Server 2008 Policy for Windows Server 2008 


VWindows 8 
VWindows 2000 |] Windows Server 2003 Policy for Windows Server 2003 


8 EANndroid 
Mac OS 


“| Windows 7 Policy for Windows 7 
Windows 2000 Policy for Windows 2000 


1 
3 
J 
4 
由 站 Windows Phone 5 加 windows8 Policy for Windows 8 
ib 
7 
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设备 党 理 -Agent 终 站 识别 


。 假设 已 建立 研发 部 账号 : lifeng64015。 


WHAC Agent [未 连接 服务 赤 ] 


YY NAC Agent 


went le 3 终端 认证 成 功 后 ， 查 看 用 户 与 终端 > 设 
lfen 、 、 [= [i ™ 
[senor 备 管理 > 设备 管理 ， 已 识别 设备 中 选择 
oooee . AUD 
ee _ Win7， 可 看 Agenl 终 端 主机 信息 


口 自动 认证 


当前 位 置 : 用 户 与 终端 > 设备 管理 > 设备 管理 
习 目 设备 组 : RE 
一 辣 忆 注册 列 表 设备 组 列表 | 设备 列表 PK 
局 已 识别 列表 @@ 增 加 | @ 删 除 | 由 查询 | 设备 转移 


所 Windows MAC 地 址 IP 地 址 L 操作 系统 主机 名 0 注册 账号 


所 Windows 7 
一 1 E8-9A-8F-BO0-C6-BO 1.1.1.1 Windows 7 |wx64015 
已 | Windows Vista 
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ee 登陆 成 功 后 ， 在 设备 常理 已 识别 设备 中 ， 可 以 看 到 登陆 终 
言 轧 ， 但 是 注册 状态 是 “ 否 - 


设备 常理- 设备 注册 


。 在 安 儿 NAC Agent 的 终 映 ， 
注册 > 我 的 设备 ， 输 入 MAC 地 址 ， 如 下 图 所 示 。 


Policy Center 


当前 人 位置: 设备 注册 > 我 的 设备 
加 增加 | 全 旺 除 

MAC 地 址 
汐 加 





“MACi 了 bg 扯 : | e8-9a-8f-b0-c6Hb0 
备注 : yanfa 


这 各 设备 姐 列表 | 设备 列表 
所 | 已 注册 列表 
9 EI 全 地 ln | @ 删 除 | 全 查询 | 设备 转移 
司 未 识别 列表 MAC 地 址 IP 地 址 设备 厂商 。 “操作 系统 。 主机 名 
司 | 黑 名 单 
司 华为 研发 | 
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注册 完成 后 ， 在 已 注册 列表 中 可 以 看 到 注册 的 主机 终端 信息 。 


E8-9A-8F-B0-C6-B0 1.1.1.1 Windows 7 hwx64015 


进入 目 主 服务 界面 ， 左 侧 导 航 单 击 设备 


配置 路 径 : 用 户 与 
设备 > 设备 管理 > 设 
备 管 理 ， 已 注册 列 
表 可 看 到 注册 设备 


人 


注册 状态 /六 广 则 SP% 


lifeng64015 ”Windows 7 
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目录 


运营 管理 操作 
1.1 终端 安全 规则 管理 
1.2 用 户 与 终端 管理 
1.3 软件 分 发 管理 


1.4 资产 消 理 
1.5 补丁 官 理 
1.6 USB 管 理 
系统 维护 
运 维 工 具 
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本 太 主 要 介绍 终 闹 安全 系统 软件 分 发 功能 。 


软件 分 发 


。 软件 分 发 是 指 官 理 员 利用 NAC Agent 将 软件 从 安全 官 理 器 月 动 
下 载 至 终端 主机 ， 并 且 在 终端 主机 目 动 运行 或 安 滩 的 过 程 


Policy Center 


用 户 与 儿 靖 。 接 入 控制 策略 。 安全 规则 理 。 补 T 基 理 。 攻 2 法 产 和 理 。 Us 人 香 。 夭折 本 置 。 系统 扒 扩 
~ 当前 位 置 : 软件 分 发 > 软件 分 发 > 软件 分 发 任务 
站 增 加 | 合 9 | 图 查 齐 | 得 执 勿 
任务 名 称 。。 拘 作 系统。 任务 状态 。 “开始 时 间 。。 过 期 时 间 。。 分 发 成 功 分 发 失败 ”描述 。 条 源 


软件 分 发 任务 
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。 所 谓 软件 分 发 是 指 管理 员 利用 NAC Agent 将 软件 从 安全 管理 器 目 动 下 载 至 终 痕 主机 ， 并 
且 在 终端 主机 目 动 运行 或 安 志 的 过 程 。 


。 软件 分 发 解决 如 何 协 助 管理 员 在 着 于 个 部 门 的 终端 主机 下 发 软件 并 且 目 动 安装 软件 的 
问题 。 通 过 癌 软 件 提 供 静 默 安 笑 参数 ，NAC Agent 能 够 在 不 影响 终端 用 户 正 常 办 公 的 情 
况 下 在 终端 主机 安装 ， 有 效 缓 解 软件 在 组 织 范围 内 推广 困难 的 问题 ， 并 且 降 低 T 运 维 成 
本 。 


安全 省 理 器 只 支持 以 NAC Agent 的 方式 接 入 受 控 网 络 的 终端 主 机 进行 软件 下 载 和 目 动 安 
流 ， 不 文 持 Web Agent 插 件 和 Web 客 户 端 方式 接 入 受 控 网 络 的 终 站 主 机 进行 软件 下 载 和 
目 动 


灶 


软件 分 发 配置 


。 软件 分 发 任务 配置 流程 。 


创建 软件 分 发 任务 
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通过 内 部 数据 音 分 发 软件 
。 选择 “软件 分 发 > 软件 分 发 > 软件 分 发 任务 ”。 
。 单 击 “ 增 加 ”， 配 置 完成 后 单 击 “ 确 定 ， 


对 增加 软件 分 发 任务 同 页 对 话 框 


任务 参数 配置 信息 
任务 名 称 : “搜狗 拼音 输入 法 
“有 效 期 : 2013-08-07 [9 至 |2013-09-07 本 
任务 执行 时 间 段 : 05:00-08:00,12:00-13:00,18:00-21:00 
描述 :安装 搜 独 拼音 输 入 法 。 


目标 失 作 系统 ; Windows 2000 
dows XP (64 位 ) 


Wndows I 《 
文件 来 源 :】 内 部 数据 源 Y 


文件 列表 : 。 称 ] 上 传 加 删除 
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所 谓 内 部 数据 产 是 指 竺 分 发 的 软件 来 目 PolicKCenter 的 产 FTP 服 务 器 或 镜像 FTP 服 务 器 。 
从 内 部 数据 兰 下 载 软 件 并 且 当 软 件 分 发 任务 执行 成 功 时 ，Anget 代 理 将 会 获取 竺 分 发 的 
软件 ， 而 不 是 竺 分 发 软件 在 产 FTP 服 务 器 或 简 像 FTP 服 务 器 的 路 径 。 通 过 内 部 数据 产 分 发 
软件 ， 操 作 比 较 灵 活 ， 传 输 速 率 比 较 快 ， 软 件 分 发 到 终端 后 提供 目 动 执行 可 执行 文件 
的 功能 。 
所 谓 外 部 数据 产 是 指 竺 分 发 的 软件 来 目 Policy Center 的 产 FTP 服 务 器 或 镜像 FTP 服 务 器 以 
外 的 文件 服务 器 。 
在 分 发 软件 时 管理 器 只 会 把 竺 分 发 软件 在 外 部 数据 产 的 路 径 发 送 给 Agent 人 代理， 终端 用 
亡 在 代理 看 到 符 分 发 软件 的 路 径 ， 单 击 超级 链接 即 可 下 载 。 外 邵 数据 产能 够 分 发 如 下 
类 型 的 文件 服务 器 的 文件 : 

o HTTP 服 务 器 


DO FTP 服 务 器 

口 Microsoft Windows 文 件 共 享 服 务 器 
通过 外 部 数据 产 分 发 软件 ， 只 支持 分 发 一 个 链接 ， 不 直接 下 载 软件 。 终 端 用 户 需 要 通 
过 手工 的 方式 ， 点 击 下 载 链接 下 载 软件 。 由 于 不 能 直接 下 载 软件 ， 选 择 分 发 外 部 文件 
服务 器 中 的 软件 时 ， 不 提供 目 动 执行 可 执行 文件 的 功能 。 


分 发 给 部 门 


日 本 软件 分 发 


当前 位 置 : 软件 分 发 > 软件 分 发 > 软件 分 发 任务 
软件 分 发 任务 
任务 名 称 


yj huawei 


操作 系统 任务 状态 


开始 时 间 过 期 9 时间 分 发 成 功 “分 发 失败 ”描述 来源 
Windows X.， 未 分 配 2013-09-29 2013-10-29 0 0 本 地 
分 配 较 件 分 发 任务 


说 明 : 
e 软件 分 发 分 配 不 区 分 饶 先 鱼 ， 重 复 分 配 也 不 会 宅 次 下 发 。 


庐 任 务 已 分 配给 下 列 部 门 (如果 选 择 父 部 门 ， 则 子 部 门 继承 父 部 门 设置 。) 
委 , 部 门 树 加 部 门 列表 全 移 除 


单 击 此 处 分 发 
给 软件 到 部 门 
VY] 部 门 描述 
ROOTIGuest\ 研 发 部 


1 


单 击 “确定 ” 
第 ”页 人 共 1 页 20 ”| 之 TS 了 
| 
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。 通过 为 部 门 分 配 软件 分 发 任务 ， 可 将 任务 分 发 至 东 个 部 门 的 所 有 终端 
足 时 ， 开 始 执行 分 发 任务 。 


终 痛 验 十 


。 双 击 终端 主 机 状态 栏 “ 攻 辐 ”安全 管理 > 软件 分 发 > 双击 出 现 
条 目 如 下 图 所 示 ， 单 击 “打开 下 载 目录 ”可 下 载 软件 


@ WAC Agent [在线 ] 
在 线 用 户 
v NAC Bk 当前 账 吕 : ifeng64015 [注销 1 [ 修 芍 密码 1 


任务 手 述 ” 任务 大 小 任务 状态 
ELE YE 


任务 大 小 : 4KB 

任务 状态 : ”执行 成 功 

完成 上 时间: ”2013-09-29 14:22:27 

任务 文件 信息 : ”文件 : 账号 信息 .xls, 大 小 : 4KB, 状态 : 下 载 成 功 


打开 下 载 目录 
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M4 SS 


。 研发 部 在 线 终 剖 将 收 到 所 分 发 的 软件 。 


1.4 资产 党 理 

1.5 补丁 过 理 

1.6 USB 管 理 
2. 系统 维护 
3. 运 维 工 具 
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本 万 主要 介绍 终端 安全 系统 资产 管理 配置 


WW HuaAwel 





是 指 能 够 安 痛 NAC Agent 代 理 的 终 映 机器，Policy Center 管 理 器 
pip 从 领 用 、 变 更 到 报 

节 来 记录 终端 主机 的 整个 生命 周期 ， 并 采集 终端 主机 的 硬件 
sheath 


Policy Center 


用 户 与 终端 ” 接 入 控制 策略 ”安全 规则 管理 。 ”补丁 管理 。 ”软件 分 发 ” 层 


二 当前 位 置 : 资产 管理 > 资产 管理 > 资产 列表 
全 增加 | 全 删除 | 全 查询 游离 资产 | 发, 修改 责任 人 
2» 
资产 编号 主机 名 IP 


日 国资 产 管理 
资产 列表 
资产 变更 
资产 配置 
资产 信息 报表 
资产 统计 报表 
软件 许可 管理 
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资产 管理 相关 概念 


D 游离 资产 指 没 有 设 定 资产 责任 入 的 资产 如 果 管 ee 定 资产 责任 人 ， 
或 者 所 设 定 的 资产 人 账号 已 被 删除 ， 则 资产 会 变 为 游离 资 


oO 自动 注册 资产 是 指 由 Roliey Center 管 理 器 自动 为 终端 主机 分 配 一 个 唯一 的 资产 编 
号 管理 员 在 设置 目 动 注册 资产 后 ， ee 成 功 时 ， 
将 收 到 Policy<sCenter 管 理 器 分 配 的 唯一 的 资产 编号 。 通 过 资产 编号 能 够 帮助 管理 
员 快 速 检 过 终端 主机 的 软 硬 件 资 产 信息 。 


0 所 谓 手 工 注 册 资 产 是 指 由 管理 员 通 过 手工 方式 在 Policy Center 管 ea 条 资 
产 记 录 ， 并 将 资产 编号 分 配给 终端 用 户 ， 终 端 用 户 在 代理 输入 资产 编号 完成 资产 
注册 过 十 程 。 


D 所 谓 资 产 变更 是 指 在 终端 主机 安装 或 由 载 软件 ， 安 装 或 拆 彼 硬件 部 件 引 起 的 终端 
主机 的 软 硬 件 信 息 变 更 。 当 资产 发 生变 更 时 ， 代 理 将 会 把 资产 变更 信息 上 报 给 
Policy Center 管 理 器 ， 管 理 员 通 过 查询 变更 报表 即 可 获取 近期 有 哪些 资产 发 生 过 
变更 ， 提 醒 资 产 责 任 人 及 时 了 解 软件 的 安装 印 载 情况 。 

o 所 谓 软 件 许 可 管理 是 指 通过 代理 统计 使 用 指定 软件 的 终端 用 户 数量 ， 管 理 员 通过 
统计 终端 用 户 正 在 使 用 软件 的 数量 ， 了 解 指 定 软件 的 使 用 情况 ， 方 便 管 理 员 对 安 
装 的 软件 进行 有 效 的 管理 和 维护 。 


俱 产 配置 流程 


。 资产 手动 注册 沉 程 图 


十 二 二， mm 口 力 < 
症 层 : 照 本 沉 


告警 信息 。 


开始 


设置 基本 参数 


程 图 配置 完成 后 ， 要 查看 





\ 几 L ~ 、 4 
设置 资产 注册 模式 

。 选择 “资产 管理 > 资产 管理 > 资产 配置 ”。 

。 在 “设置 资产 注册 模式 ”区 域 框 中 设置 相关 参数 。 


用 户 与 终端 。 接 入 控制 策略 。 安全 规则 管理 。。 补丁 管理 。 软件 分 发 US 管理 。 系 护卫 置 。 系统 的 护 


一 二 ” 当前 位 置 : 资产 管理 > 资产 管理 > 资产 配置 
日 资产 管理 

资产 列表 设置 资产 注册 模式 

资产 变更 

资产 配置 

资产 信息 报表 

资产 统计 报表 

软件 许可 管理 
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资产 注册 模 陈 包括 上 自动 注册 和 手工 注册 。 有 目 动 注册 模式 不 需要 终端 用 户 参 与 ， 目 动 完 
成 资产 的 注册 。 手 动 注册 需要 终端 用 及 在 NAC Agent 代 理 手工 进行 资产 注册 操作 。 


设置 资产 信息 的 上 报 参 数 


选择 “资产 管理 > 资产 管理 > 资产 配置 ”。 
。 在 “资产 上 报 配 置 ” 区 域 框 中 设置 配置 参数 。 


资产 上 报 配置 


上 报 终端 系统 的 硬件 信息 ; JDVDICD.ROM 驱动 器 以 内 存 
局 说 盘 豫 动 器 团 端口 ( COM 和 LPT ) 
六 流 盘 同 忌 标 
y | 网络 适配器 网 硬盘 远 辑 分 区 
局 | 声音、 视频 和 游戏 控制 器 MBIOS 
V 上 报 终端 系统 的 操作 系统 
J 上 报 终端 系统 的 应 用 软件 信息 
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通过 配置 资产 信息 的 上 报 参数 ， 管 理 员 能 够 设置 需要 上 报 的 资产 信息 类 别 。 


设置 资产 变更 的 上 报 参 数 
。 选择 “资产 管理 > 资产 管理 > 资产 配置 ”。 
。 在 “资产 变更 配置 ”区 域 框 中 设置 配置 参数 。 


变更 部 件 名 称 


洲 DvD/cD-ROM 驱动 器 


内存 


增加 洗 疙 
pi 册 有 条 本 Y | 同 络 适 和 器 


VY 增加 
站 7 册 除 VY 软盘 拭 动 器 


增加 沈 皖 
判 端口 (COM 和 LPT ) 遇 一 一 yY 声音 、 视 频 和 游戏 控制 器 
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。 通过 配置 资产 变更 的 上 报 参数 ， 管 理 员 可 以 根据 资产 变更 类 型 及 重要 程度 设置 资产 信 
息 发 生变 更 后 是 否 上 报 。 


本 置 发送 资产 告 
选择 “系统 维护 > 资产 告警 > 告警 配置 ”。 


设置 邮件 提醒 收 件 人 产生 资产 告警 的 相关 人 参数。 


用 户 与 符 病 。。 接 入 控制 策略 。 ”安全 规则 管理 。 “补丁 总 理 。 ”软件 分 发 资产 管理 USB 答 理 ”入 统 呈 置 、 导 二 2 


= 当前 位 置 : 系统 维护 > 资产 告警 > 告警 配置 
日 “配乐 妨 管 理 员 


pe 告 区 级别 包 件 提醒 
入 包 人 总 理 


系统 用 户 上 告 登 级 别 B 件 提 稻 ; 不 通知 加 提示 及 以 上 告警 重要 及 以 上 洁 警 紧急 告警 


盏 国 日志 管理 收 件 人 版 箱 地 址 (名 ifengzpwephuawel. com 辐 
站 闻 讼 各 六 0 
日 训 部 署 和 升 纪 J 
国生 系统 公告 
加 [ 辐 定 制 报表 
日 语 贾 产 洁 区 

当前 省 区 

党 要 配置 
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。 通过 配置 资产 变更 告警 邮件 ， 可 以 及 时 将 资源 告警 信息 发 送 给 相 天 人 员 。 


增加 从 


。 选择 “资产 管理 > 资产 管理 > 资产 列表 。 


。 单 而 “增加 ”， 输 入 相 天 参数 。 


用 己 与 终端 接 人 控制 策 辐 安全 规则 管理 让 丁 管理 


当前 位 置 : 资产 管理 > 资产 管理 > 资产 列表 
a 各, 仿 


-A111 


资产 管理 
资产 列表 
资产 变更 
资产 信息 报 惠 资产 责任 人 账 写 : lifeng64015 一 
资产 统计 报表 资产 位 置 : 
软件 许可 管理 过 保 时 间 |: 
报废 时 间 ; 
资产 描述 : 
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为 了 便于 管理 器 集中 管理 和 维护 企业 中 的 所 有 资产 信息 ， 当 新 设备 开始 投入 使 用 时 ， 
管理 员 需 要 将 资产 信息 录入 管理 器 。 本 操作 适用 于 增加 少量 〈 小 于 或 等 于 3 合 ) 资产 信 
管理 员 在 增加 资产 信息 时 、 能 够 为 资产 设 定 责 任 人 和 资产 位 置 。 当 资产 所 在 的 位 置 发 
生变 更 时 ， 终 病 用 户 能 够 在 代理 设置 资产 的 位 置 ， 以 便 更 新 资产 位 置信 息 。 

当 资产 责任 人 账号 被 删除 后 ， 资 产 与 该 资产 责任 人 的 归属 关系 目 动 解除 ， 即 资产 的 “ 
资产 责任 人 账号 “属性 被 目 动 清空 ， 该 资产 成 为 游离 资产 。 


注册 贷 产 


。 终 端 主 机 > 资产 管理 > 资产 注册 ， 输 入 资产 编号 如 下 图 。 
Rc Agent ” [在 线 ] 


vy NAC Agent 当前 账号 : lfeng64015 [注销 1 [修改 密码 1 
: 日 | a Pz: 二 有 
关 关 管理。 GG 轩 

资产 未 注册 或 未 获取 到 注册 状态 


安全 管理 I@ 资产 责任 人 : 


| 硬 规 Ai 置 
到 ， 软 件 分 发 


资产 所 在 地 : 
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。 资产 注册 ， 资 产 编号 : 123445. 


查看 软件 和 硬件 信息 


。 选择 “资产 管理 > 资产 管理 > 资产 列表 ”。 


。 单 击 待 查看 资产 “操作 ” 列 的 总 。 


httpx://1.1.1.2:8443 达 看 较 件 硬件 信息 Mi cr 


oxoft Intormet Exzplorer 


资产 篇 号 : 123445 
硬件 歼 是 : 19 ”软件 数 是 : 80 ”资产 更 新 时 间 : 2013-09-29 15:25:55 外 更 新 资产 信息 


访 号 帮 件 类 型 
外 理 器 


站 理 跨 


内 存 


DYD/CD-ROM 驱 
动 器 


诗 知 红 动 器 


硬 委 地 所 分 区 


硬盘 示 加 分 区 


硬 艰 远 咎 分 区 


监 讽 器 


部 件 名 麻 


Intel(R) PenNntium(R} CPU B940 各 
2,00GHz 


intel(R) PeNntium(R) CPU B940 © 
2,00GHz 
Mernory 


Simtype DVD A DSS8ASSH 
HITACHI HTSS543232A7A384 
D:\ 

c:\ 


F:\ 
通用 即 插 即 用 部 视 器 
PS/2 标准 键盘 
PS/2 著 容 了 醋 标 


HID-compiiant Mouse 


Intel(R) Cemtrimo(R ) Wreless-N 
1000 


蕉 还 信息 

过 由 村 南 :Intel 

替 述 :Imtel Processor 

潮 帆 半 丙 :Intel 

括 壕 :Intel Processor 
容量 (MB); 1988 

医 壕 :Physical Memory 
直上 千 商 :( 标 人 稚 CD-ROM 38 动 器 ) 
应 述 :CD-ROM Drive 

容量 (MB):305242 

三 驮 ID;:E2434233G840PK 
利 j 往 商 :( 标 稚 磁 驮 3E 动 路 ) 
失 述 :磁盘 驱动 器 

分 区 格式 :NTFS 

总 空间 大 小 (MB):239933 
(MB):199012 

分 区 档 式 ;NTFS 

总 宇 问 大 小 (MB);49999 
种 休 全 | 司 (MB):3274 

分 区 格式 :NTFS 

总 宣 间 大 小 (MB):;199 

别 | 余 宝 间 (MB):166 

雪山 盘 商 :( 标 稚 监 视 器 类 型 ) 
擅 述 :通用 即 插 即 用 监视 器 
人 i 注 丙 ;( 标 从 键 我) 
的 法 :PS/2 标准 键盘 

各 中 小 商 ;Microsoft 
的 述 :PS/2 兼容 限 标 

过 由 周 隐 ;Microsoft 

摔 壕 :HID-compliant mouse 
IP:O0.0.0.0 
MAC:74:ES:0B:34:16:7E 
有利 目 造 商 :Imtel Corporation 
拭 述 :Imtel(R) Centrno(R) Wireless-N 1000 
iP:1,1,1,1 
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资产 注册 成 功 后 ，NAC Agent 代 理 将 立即 上 报 终端 主机 的 软件 和 硬件 信息 。 上 报 成 功 后 
， 管 理 员 能 够 查看 已 注册 终端 主机 的 软件 和 硬件 信息 。 


查询 贷 产 信息 报表 


选择 “资产 管理 > 资产 管理 > 资产 信息 报表 ”。 
单 击 “ 查 询 ” 
设置 查询 参数 ， 单 击 “ 确 定 ” 


查询 条 替 

~ 报表 项 巩 置 

选择 报表 显示 列 : 

六 部 门 忌 ) 资产 编号 资产 状态 资产 责任 人 账号 
注册 时 间 上 次 登录 账号 上 次 登录 时 间 yj 主机 名 

VIIP IMAC VV 操作 系统 DYDjCD-ROM 驱动 器 

y 内 存 处理 器 磁盘 3E 动 器 端口 ( COM 和 LPT ) 
| 监视 器 键 急 声音 、 视 频 和 游戏 控制 器 
| 硬盘 至 辑 分 区 软盘 驱动 器 * Y| 网 络 适配器 
1BIOS 


& 
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i 3 理 员 提供 该 资产 最 新 最 详尽 的 信息 ， 包 括 资 产 编码 、 所 在 部 门 、 商 
任 人 负 等 。 


得 询 和 贷 产 统计 报表 


选择 “资产 管理 > 资产 管理 > 资产 统计 报表 ” 
。 单 击 “ 查 询 ” 
。 设 置 查询 参数 ， 单 击 “ 确 定 ” 


查 诲 条 着 

^| 报表 项 设置 

选择 报表 显示 列 : 

I 部门 资产 编号 VY 资产 状态 资产 责任 人 账号 
注册 时 间 上 次 登录 账号 上 次 登录 时 间 主机 名 
IP MAC Y 操作 系统 DYD/CD-ROM 驱动 器 
内 存 处 理 器 磁盘 驱动 器 闹 口 ( COM 有 LPT ) 
监视 器 键盘 忌 标 声音 、 视 频 和 游戏 控制 器 
硬盘 远 辑 分 区 软盘 驱动 器 显示 卡 网 络 适配器 
BIOS 





通过 查询 资产 的 统计 报表 ， 省 理 员 可 以 通过 部 1 ]、 操 作 系 统 、 资 产 状态 等 信息 查看 
产 的 统计 情况 。 


1.4 和 换 产 党 理 

1.5 补丁 管理 

1.6 USB 管 理 
2. 系统 维护 
3. 运 维 工 具 
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本 万 主 要 介绍 终端 安全 系统 补丁 管理 配置 。 
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补丁 管理 


通过 补丁 管理 功能 Policy Center 管 理 器 为 终端 主机 安装 
Microsoft Windows 或 Linux 操 作 系 统 的 补丁 。 


. admn 书 | 代 鱼 
Policy Center 


用 户 与 关注 授 和 近 抽 第 咯 。。 安全 规 则 8 理 。 攻 了 E 汪 次 认 发 。 交管。 Use 各 理 。 系统 P 置 。 系 维护 


”当前 位 置 : 补丁 管理 > 补丁 管理 方式 > 补丁 管理 方式 
日 “补丁 管理 方式 


盏 入 补丁 仿 理 配置 补丁 管理 方式 
四 柯 WSUS 守 管理 配置 补丁 管 吾 方 式 : 使 用 系统 自 有 的 补丁 下 载 和 分 发 功能 ， 与 澡 作 系 坊 补 丁 检查 策 晤 联动 完成 补丁 检查 
避 六 Unux 补 丁 管 理 问 和 用 站 隐 WSU5 衣 红 的 引 二 下载 各 全 发 功能 与 梁 作 系统 补丁 检查 第 比 联 动 碗 成 补丁 松 赛 
不 提供 补丁 下 壹 和 分 发 功能 ， 换 作 系统 补丁 检查 策略 独立 完成 补丁 检查 
说明: 
。 当 使 用 系统 自 有 的 补丁 下 载 和 分 发 功能 ,需要 在 补丁 管理 茶 单 设置 补丁 下 载 配置 和 补丁 模板 


。 当 售 用 党 软 WSUS 系 统 的 守 丁 下 载 和 分 发 功能 ,需要 设置 WSUS 客 户 篇 配置 
。 当 使 用 不 提供 补丁 下 载 和 分 发 功能 ,无 希 在 系统 中 进行 其 它 配置 
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。 操作 系统 给 终 山 用 户 审 来 便捷 的 同时 ， 由 天 终 站 用 户 对 安 委 操作 系统 补丁 不 重视 ， 已 
发 现 的 操作 系统 安全 漏洞 无 法 得 到 及 时 修复 ， 导 致 终端 主机 容易 感染 病毒 或 木马 ， 成 
为 网 络 安全 的 薄弱 环 太 。 如 何 确 保 操 作 系 统 的 安全 是 管理 员 最 关注 的 焦点 之 一 。 


。 较 好 的 解决 办 法 是 通过 工具 协助 终端 用 户 自动 安装 操作 系统 补丁 ， 及 时 封 堵 安 全 漏 泪 
， 最 大 限度 降低 病毒 或 木马 利用 操作 系统 的 漏洞 进行 传播 、 盗 取 机 密 信息 或 进行 破坏 


。 Policy Center 支 持 对 Windows 和 Linux 操 作 系 统 的 补丁 管理 。 


补丁 壳 理 配置 流程 
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。 Windows 补 丁 管理 配置 沉 程 图 。 


设置 补丁 管理 万 案 
选择 “补丁 管理 > 补丁 管理 方式 > 补丁 管理 方式 


Policy Center 


用 户 S 渍 。 接近 机 % 咯 。 安信 几 殖 ， 攻 汪 贡 凑 # 人 业 。 交 产 关于 。 sp 管理 。 系 卫 置 。 系 折 失 护 





当前 位 置 : 补丁 管理 > 补丁 管理 方式 > 补丁 管理 方式 
9 补丁 管理 方式 


日 司 补 丁 管理 配置 补丁 管理 方式 


日 WSU5 补 丁 管理 妃 置 补丁 管理 方式 
四 Linux4t 丁 管理 


说 明 
和 opcTi 有 二 人 
使 用 党 软 WSUS 系 统 的 补丁 下 载 和 分 发 功能 ,需要 设置 WSUS 客 户 访 配置 
。 当 使 用 不 提供 补 了 下 载 和 分 发 功能 ,天 大 在 系统 中 进行 其 它 配置 
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。 补丁 营 理 方案 包括 以 下 三 种 : 使 用 Policy、Cepter 系 统 自 有 的 补丁 下 载 和 分 发 功能 ， 使 用 
微软 WSUS 系 统 的 补丁 下 载 和 分 发 功能 , 不 提供 补丁 下 载 和 分 发 功能 


。 管理 器 与 WSUS 联 动 适 用 于 在 安 六 Policy Center 之 朋 已 经 安装 WSUS 的 场合 。 管 理 器 与 
1 E 协 助 终端 用 户 安 洲 Microsoft Windows 操 作 系 统 补 丁 ， 还 能 在 终端 主机 未 安 
装 补 丁 的 情况 下 禁止 终端 主机 接 入 受 控 网 络 。 


e Microsoft WindowszkhNy 管理 与 Microsoft Windows 补 丁 检 查 策 略 均 能 检查 终端 主机 是 否 
已 经 安装 指定 的 Microsoft Windows 操 作 系 统 补 丁 ， 不 同 点 在 于 : 


oO Microsoft Windows 补 丁 检查 策略 重 在 检查 终端 主机 是 否 安 狐 Microsoft Windows 操 
作 系 统 的 补丁 ， 并 且 能 够 与 检查 结果 对 终端 主机 进行 援 入 控制 。 当 终端 主机 未 安 
疫 指 定 的 Microsoft Windows 操 作 系 统 补 丁 时 禁止 终端 主机 接 入 受 探 网络 ， 而 不 是 
协助 终 问 用 户 目 动 安 装 Microsoft Windows 补 丁 。 在 这 种 情况 下 ， 管 理 员 必须 配置 
Microsoft Windows 补 丁 检 查 策 略 与 Microsoft Windows 补 丁 管 理 联 动 ， 或 者 与 
WSUS 联 动 才 能 实现 目 动 安 小 Microsoft Windows 补 丁 ， 人 否则， 终端 用 户 只 能 手工 
下 载 并 安 半 补丁 才能 消除 违规 。 

oO _ Microsoft Windows 补 丁 管理 重 在 检查 终端 主机 是 否 安装 指定 的 补丁 ， 根 据 SM 管 


理 器 配置 的 Microsoft Windows 补 丁 部 署 规则 协助 终端 主机 下 载 并 安装 指定 的 补丁 
， 而 不 是 对 终端 主机 进行 接 入 控制 。 





伞 本 下载 配 置 


。 选择 “补丁 管理 > 补丁 常理 > 补丁 下 载 配置 。 
。 配置 补丁 管理 方式 ， 选 择 “ 从 上 级 服务 器 下 载 补 丁 。 


当前 位 置 : 补丁 管理 > 补丁 管理 > 补丁 下 载 配 置 


说 明 : 

。 如 果 SM 配 置 从 上 级 服务 器 TMC 下 载 补丁 ， 则 沿用 TIMC 的 下 载 配置 

。 如 果 上 级 服务 器 TMC 配 置 了 SM 只 能 从 TMC 下 载 补丁 ， 则 SM 不 能 进行 补丁 下 载 配 置 ， 使 用 TMC 的 下 载 配 置 
操作 系统 补丁 级 别 补丁 语言 


a 
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主要 参数 说 明 : 


0 周期 下 载 设 置 是 否 周期 下 载 补 下。 选中 “周期 下 载 。” ， 管 理 器 将 会 在 每 天 指定 的 
时 间 开 始 下 载 新 增 的 补丁 。 如 果 不 选 中 “周期 下 载 ”。 

0 开始 时 间 ， 当 选择 “周期 不 载 ” 时 为 必 填 项 设置 3SM 管 理 器 下 载 补丁 的 开始 时 间 ， 
仅 文 持 整 点 开始 执行 下 载 任务 。 建 议 设 为 业务 空 亲 期 ， 例 如 “0:00 。 


查询 补丁 下 载 记录 


。 选 择 “补丁 管理 > 补丁 管理 > 补丁 下 载 记录 ”。 
。 选择 “服务 器 特征 库 下 载 记录 ”页 签 。 


当前 位 置 : 补丁 管理 > 补丁 管理 > 补丁 及 特征 库 统 计 记录 
| 服务 器 特征 库 下 载 记录 | 服务 器 下 载 补丁 记录 


咎 坦 询 
下 载 开 始 时 间 下 载 结束 时 间 “文件 大 小 (KB) ”特征 库 版 本 特征 库 发 布 时 间 。” 下 载 结果 失败 原因 重 试 次 数 


1 周 200911.28 20.19.54 2009.11.28 202047 17349.92 $80267 2009.11.09 23.15:59 下 载 成 为 无 
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。 查询 补丁 特征 库 的 下 载 结 果 ， 以 便 了 解 补 丁 特征 库 是 否 得 到 及 时 更 新 。 

。 补丁 特征 库 是 否 得 到 及 时 更 新 将 影响 到 SM 管理 器 下 载 Microsoft Windows 操 作 系统 补丁 
的 效果 。 如 果 人 补丁 特征 库 没 有 得 到 及 时 更 新 ， 将 会 导致 SM 管理 器 无 法 从 微软 官方 网 站 
下 载 新 增 的 补丁 。 如 果 SM 管 理 器 无 法 下 载 Microsoft Windows 补 丁 ， 请 检查 补丁 特征 库 
下 载 失败 。 


查询 补丁 下 载 记 录 (1) 


选择 “补丁 管理 > 补丁 官 理 > 补丁 下 载 记 录 。 
选择 “服务 器 下 载 补丁 记录 ”页 侈 。 
单 击 “查询 ”， 设 置 补丁 查询 参数 。 


查 乒 服务 器 下 载 补 丁 日 志 
更 新 标题 : 
下 载 开始 时 间 : ”2009-09-29 00:00:00 
至 : |P013-09-29 00:00:00 
下 载 结束 时 间 : 
子 : 





“| 回回 | 回 芭 
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。 检查 SM 管理 器 下 载 Microsoft Windows 操 作 系 统 补 丁 的 结果 ， 以 便 确 定 哪些 补丁 下 载 成 


查询 补丁 下 载 记 录 (2) 


。 单 击 加 查看 补丁 下 载 日 志 的 详细 信息 。 





知识 库 号 





更 新 标题 





下 载 开 始 时 间 





下 载 结束 时 | 加 


|2229593 
lwindows XP 安全 更 新 程序 (KB2229593) 


|2012-01-05 23:12:22 


[3012-01-05 23:12:25 





发 布 日 期 





下 载 结 果 


|2010-07-06 21:58:41 
成 功 





重 斌 次数 


lo 











关键 
瑞 已 确认 有 一 不 安全 问题 ”来 通过 身份 鞠 证 的 远程 基 击 
者 可 能 会 利用 此 问题 危及 系统 的 安全 并 获取 对 该 系统 的 


| 控制 权 。 您 可 以 通过 安装 本 Xicrosof 更 新 程序 来 保护 系 
| 统 不 受 侵害 。 安 装 本 更 新 程序 后 ,可 能 必须 重新 启动 系 














有 £S10-042 

将 芍 于 语 

[betp: go.microsoft.com fvlink ?Linkid=194729 

[bee: download.windoWwsupdate.com'msdownload update sof 


|twvare'secw2010'06 windowsxp-kb2229593.x86-pts_62c4cce 
|5e7f976664025422feaebe51b66b0aa17.exe 








查询 补丁 (3) 


。 选 择 “ 补 丁 管理 > 补丁 管理 > 补丁 列表 ”。 单 击 “ 查 询 ”。 
。 输入 查询 参数 ， 单 击 ， 确 定 。 


查找 补丁 芒 息 


说 0 识 库 号 : 976325 
级 别 : | 关键 








发 布 时 间 ; 


查询 结果 


当前 位 置 : 补丁 管理 > 补丁 管理 > 补丁 列表 
0 查 询 | 多 返回 | 六 下载 补 丁 | 显示 全 部 xv 补丁 


全 知识 库 号 更 新 标题 

1 976325 用 于 Windows XP 的 Internet Explorer 8 累积 安 2009-12-08 18 
> 976325 用 于 Windows XP 的 Intermet Explorer 6 累积 安 2009-12-08 18 
3 976325 用 于 Windows XP 的 Intermet Explorer 7 累积 安 2009-12-0818 
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查询 补丁 ， 以 便 管 理 员 了 解 当前 管理 器 存储 哪些 补丁 ， 或 方便 管理 员 查 询 指 定 补丁 的 
相关 信息 和 安装 情况 。 


增加 目 动 审批 模板 


选择 “补丁 管理 > 补丁 党 理 > 补丁 模板 。 
。 单 击 “增加 ， 设 置 参数 ， 单 击 “ 保 存 。 


当 增 加 补丁 模板 一 网 页 对 话 框 


“名 称 : ”研发 部 补丁 模板 
描述 : 


类 型 : ”自动 审批 模板 
补丁 安装 方式 : 图 自动 安装 手动 安装 
代理 安装 补丁 时 段 设置 : 立刻 安装 补丁 
名 根 客 补丁 安装 时 间 段 安装 补丁 
设置 代理 的 补丁 安装 时 间 段 
开始 时 间 : 00:00 v 结束 时 间 : ”03:00 
开始 时 间 : ”09:00 v 结束 时 间 : 10:00 
开始 时 间 : 14:00 v 结束 时 间 : lu6:00 


换 作 系统 ; 中 Windows XP (32 位 ) 


yj Windows 7 (32 位 ) 
yj Windows 7 (64 位 ) 


补丁 级 别 ; 忆 关键 
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。 创建 目 动 审批 补丁 模板 ， 匹 配 设置 条 件 匹 配 需 要 安 角 的 补丁 ， 以 便 通 知 终端 主机 从 少 


理 器 下 载 和 安装 需要 的 Microsoft Windows 操 作 系 统 补丁 。 


自动 审批 补丁 模板 适用 于 为 终端 用 户 设 置 条 件 匹 配 需要 安装 的 Microsoft Windows 操 作 
系统 补丁 场合 ， 不 匹配 的 补 孙 则 不 会 在 终端 主机 安装 ， 而 无 需 管理 员 逐 一 挑选 需要 安 


闪 的 补丁 。 


分 本 补丁 模板 


。 选择 “补丁 管理 > 补丁 官 理 > 促 丁 模板 ”。 
。 在 待 分 配 模板 的 右 侧 单 击 浏 .分配 补丁 模板 给 部 门 。 


分 配 务 门 ,三 号 , 蔷 秆 说 霹 址 范围 


说 明 : 

。 强 列 建议 不 要 同时 给 部 门 和 同 络 区 域 有 置 补丁 模板 ,否则 持 不 容易 识别 某 个 终端 实际 使 用 的 模 
板 ,导致 管理 混乱 。 

。 生效 忧 先 级 : 账号 > 网 结 区 城 > 部 门 。 
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。 补丁 模板 可 以 指派 给 部 门 、 账 号 和 网 络 安 例 区域。 如 果 不 同 的 补丁 模板 分 别 应 用 到 部 
门 、 账 号 和 网 络 区 域 ， 则 优先 级 最 高 者 所 分 配 到 的 补丁 模板 将 会 生效 。 部 门 、 账 号 、 
网 络 区 域 的 优先 级 天 系 为 : 账号 > 网 络 区 域 > 部 门 。 


。 当 同 时 为 部 门 和 网 络 区 域 分 配 补 村 模板 时 ， 管 理 员 要 判定 茉 个 员工 使 用 了 什么 模板 ， 
不 仅 要 考虑 员工 在 哪个 部 门 y》 还 要 考虑 该 员工 在 哪个 网 络 区 域 的 终端 主机 上 进行 认证 
。 当 员工 在 不 同 网 络 区 域 认证 时 ， 各 个 网 络 区 域 配置 的 补丁 模板 不 一 样 ， 员 工 使 用 的 
模板 也 就 不 一 样 、 这 束 增 加 了 管理 员 管 理 的 复杂 度 。 因 此 ， 建 议 管理 员 不 要 同时 为 部 
门 和 网 络 区 域 分 配 补丁 模板 。 


1.5 锌 丁 壳 理 


1.6 USB 管 理 
2. 系统 维护 


3， 运 维 工具 
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本 市 主要 介绍 终端 安全 系统 USB 管 理 


USB 管 理 


。 USB 和 存储 设备 的 管理 包括 U?B 存 储 设 备 的 注册 和 审批 、 解 除 注 
册 、 使 用 权限 、 使 用 艺 围 限制 、 挂 失 和 解除 挂失 、 离 线 解 客 
， 以 及 UsB 和 存储 设备 的 规格 说 明 。 


Policy Center 


接 入 控 刺 第 栈 安全 规则 符 理 补丁 管理 软件 分 发 资 





当前 位 置 ;USB 管理 > US58 注 出 > 注册 审批 
各 批准 申请 | 为 拒 把 | 可 词 | 和 外 习 责 迁 人 
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。 USB 存 储 设备 管理 功能 通过 注册 USB 存 储 设备 7 能够 管理 企业 内 部 的 USB 存 储 设备 。 


。 企业 员工 对 已 注册 和 未 注册 的 USB 存 储 设备 具有 不 同 的 使 用 权限 。USB 存 储 设备 管理 功 


能 通过 监 探 USB 存储 设备 策略 ， 洋 现 对 已 注册 和 未 注册 的 USB 存 储 设备 使 用 权限 的 探 制 


由 于 在 企业 内 部 使 用 来 注册 的 UsB 存 储 设备 会 受到 限制 ， 员 工 在 使 用 UsB 存 储 设备 前 ， 
需要 通过 NAC Agent 代 理 提交 注册 申请 。 根 据 员 工 提交 注册 申请 所 使 用 的 账号 是 人 否 具有 
自动 审批 权限 入 所 提交 的 注册 申请 的 审批 过 程 有 所 不 同 : 


o 如 果 提 交 注 册 申 请 的 员工 具有 自动 审批 权限 ， 则 该 注册 申请 自动 审批 通过 ， 无 需 
管理 员 审批 。 


5 “如 果 提 交 注 册 申 请 的 员工 不 具有 目 动 审批 权限 ， 则 该 申请 提交 到 管理 员 处 等 竺 审 
批 ， 管 理 员 审核 员工 提交 的 申请 ， 当 申请 属实 时 批准 申请 ， 当 申请 不 属实 或 注册 
申请 填 与 铬 误 时 拒绝 申请 。 

审批 通过 后 的 U?B 存 储 设备 即 成 为 已 注册 的 Us?B 存 储 设备 ， 当 已 注册 的 USB 存 储 设备 丢 
失 时 ， 浓 理 员 能 够 挂失 丢失 的 USB 存 储 设备 ， 已 挂失 的 USB 和 存储 设备 不 能 使 用 。 当 挂失 
的 USB 存 储 设备 被 找 回 后 ， 管 理 员 能 够 解除 挂失 ，UsB 存 储 设备 能 够 恢复 正常 使 用 。 


USB 管 理 配 置 流程 


开始 


启用 USB 注 册 功 能 


增加 目 动 注册 账号 (可 选 
配置 ) 
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。 USB 管 理 自 动 注册 配置 流程 图 。 


注册 配置 害 理 
。 选择 “USB 管 理 > USB 注 册 > 注册 配置 ”。 


。 在 石 侧 操作 区 域 选 中 “局 用 ”， 弹 出 如 下 对 话 框 ， 默 认 设 置 
， 单 击 “ 确 定 _ 


全 业 序 列 号 
启用 USB 注 册 功 能 时 必须 设置 企业 序列 号 作为 USB 设 备 标 识 的 一 部 分 ， 请 选择 序列 号 设置 
方式 : 
@) 自动 生成 。 当 初次 启用 USB 注 册 功 能 时 ,建议 使 用 该 方式 ， 并 保存 生成 的 企业 序列 
号 。 


手工 输入 。 如 果 重 新 安装 系统 并 且 希 望 识 别 已 注册 过 的 USB 设 备 ， 建 议 使 用 该 方式 。 
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系统 默认 茶 用 UsB 存 储 设备 注册 管理 功能 。 种 需要 使 用 USB 存 储 设备 注册 管理 功能 时 ， 
请 先 执行 局 用 USB 和 存储 设备 注册 管理 操作 。 

企业 序列 号 是 区 分 各 个 企业 的 依据 X 即 限制 在 本 企业 注册 的 USB 存 储 设 备 只 能 在 本 企业 
内 使 用 ) ， 请 根据 USB 存 储 设备 注册 管理 功能 的 使 用 情况 ， 选 择 企业 序列 号 的 生成 方式 


0 目 动 生成 ， 首 次 届 用 UsB 存 储 设备 注册 党 理 功 能 时 使 用 。 
oO 手工 输入 入 如 果 Policy Center 系 统 中 的 企业 序列 号 丢失 时 使 用 。 


注册 配置 常理 


。 勺 选 邮件 通知 管理 员 审 批 U?B 申 请 ， 单 击 “ 保 存 ” 。 


当前 位 置 : USB 管 理 > USB 注 册 > 注册 配置 


启用。 启用 USB 注 册 管 理 后 ， 在 些 控 U8 存储 设备 策略 中 可 以 分 别 给 已 注册 、 未 注册 USB 存 侍 设备 设置 参数 ， 
禁用 。 茜 用 USB 注 册 管理 后 ,在 些 控 US8 存 储 设备 策略 中 可 以 给 US8 存 储 设 备 设置 参数 ， 


企业 序列 号 ; 5359fa4d139cb2e8c05334d4f6e97293 


定制 代理 端 申请 信息 。 申请 原因 : 
格式 : 


邮件 通知 管理 员 审 批 U58 申 请 
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。 配置 完成 如 胶片 所 示 。 


目 动 注册 账 亏 壳 理 (可 和 过 配置 ) 


。 选择 “USB 管 理 ” “USB 注 册 > 自动 注册 账号 ”。 
。 在 右 侧 操作 区 域 单 击 “增加 ”。 
。 设置 查询 参数 ， 单 击 “ 查 询 ” ， 查 询 目标 账号 。 


增加 自动 注册 账号 
账号 名 称 : aw11 
帐号 部 门 
1 aw11 ROOTtang11 
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。 增加 自动 注册 账号 ,减轻 管 理 员 审批 USB 存 储 设 备注 册 申 请 的 工作 量 ， 保 证 终端 用 户 
待 





够 及 时 完成 USB 存 储 设备 注册 。 在 增加 自动 注册 账号 前 ， 请 管理 员 仔 细 审 核 得 增加 账号 


是 否 有 权限 自动 注册 USB 存 储 设备 。 


。 人 饭 添 加 为 目 动 注册 账号 后 ,该 账号 提交 的 注册 申请 能 够 自动 审批 通过 ， 无 需 管理 员 
准 。 


监控 USB 存 储 设备 


操作 步 又: 

1， 安 全 规则 管理 > 策略 配置 > 策 
略 模板 > 策略 模板 管理 ”。 

.在 需要 设置 监控 USB 存 储 设备 
策略 的 模板 右 侧 单 击 侠 。 

. 在 “监控 UsB 存 储 设 备 ” 右 侧 
单 击 人 加, ， 局 用 该 策略 。 

. 在 “监控 UsB 存 储 设备 ” 右 侧 
单 击 器 ， 设 置 “ 监 控 USB 存 储 
设备 ”的 运行 参数 
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策略 描述 : 监控 终 丹 JSB 存 储 设备 的 访问 ， 并 提供 文件 监视 功能 。 

策略 执行 参数 
只 法 文件 监控 
只 读 间 让 件 监控 


写 入 加 窗 

写 入 加 灾 
这 :在 

习 记录 SB 存储 设备 的 插 技 事件 
允许 高 线 解 灾 

监控 USB 文 首 抬 作 列表 : 

四 才 加 全 归 S 暗 3 出 

文件 类 型 操作 
1 | 回 | *doc 新 建 遇险 


第 上 页 所 共 I 页 
插入 设备 时 在 客户 亳 显示 提示 信息 ， 
插入 未 注册 设备 时 ; 


插入 已 注册 设备 时 


WW HuAwel 


。 根据 配置 任务 ， 需 要 为 研发 部 内 已 注册 和 未 注册 的 USB 存 储 设 备 分 别 配 置 文件 监控 和 荣 


用 权限 。 


USG 注 册 


it 【在 转 ] 


Wy NAC Agent 


申请 原因 : kechengkaifa| 。 


剖 提 条 件 : 客户 端 已 经 认证 成 | sssgzz 
@ uuID 注 册 (适用 于 普通 us8 存 依 设 备 ) 
功 。NAC Agent> 安全 管理 | Orsissm GmTwswsieas 
Ar 、 设备 加 密 方 式 
>USB 管 理 ， 单 击 注册 ， 出 现 口 全 盘 加 密 (适用 于 普通 use 存储 设备 ) 
如 右 对 话 框 ， 输 入 参数 。 


WW HUAWEI 
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。 登陆 终端 代理 后 提交 USB 注 册 信 息 。 


管理 员 审 批 


。 USB 管理 >U5B 注 册 ， 选 中 待 审批 项 ， 单 击 “ 批 准 申 请 ”在 已 
注册 设备 ， 可 以 查看 到 注册 的 设备 。 


用 户 与 Si 隧 。。” 接 入 污 册 策略。 安全 规则 各 更 补丁 符 理 。 “软件 分 发 。。 资产 党 理 ” 国 5 类 不 坑 肥 置 。 “未 统 准 护 


SB 管理 > USB 注 册 > 注册 审批 


区 批准 申请 | 条 托 郊 | @ 喜 询 | 纹 修 改 类 任 人 当前 状态 待 审批 ~ 
” 
USB 编 号 序列 号 申 清 人 注册 类 型 申请 账号 USB 信 息 申请 信息 申请 9j 问 责任 人 账号 责任 入 部门 
123445 李 锋 非 加 客 广 册 。 lifeng64015 ”Generic Flash Disk USB,， 申 请 原因 : kechengkaifa 2013-09-29 17; lifeng64015 ”研发 部 


用 户 与 终端 。 接 入 控制 策略 。 ”安全 规则 管理 。 补丁 管理 “软件 分 发 “资产 营 理 。 国 国 3 天 条 统 肥 置 。 系统 维护 


一 2 
当前 位 置 :US8 管 理 > U58 注 册 > 已 注册 设备 


日 “US8 注 册 
辐 拓 | 多 个 冯 责任 人 | 二 3 出 | QO 查询 
. EE 天 S 证 中 请 账号 。 注册 类 型 。 审批 时 间 最近 合用。 US8 信 息 。 。。” 祥 8 ”责任 人 账号 。 责任 人 部 门 


i. 有 A “4 A A 有 ; 
123445 admin 李 锋 lifeng64015 ” 礁 加 密 注 册 。 “2013-09- Generic FlasirDisRWYSe Devi ， lifeng64015 ”研发 部 








% 工 提交 的 注册 申请 属实 ， 管 理 员 批准 注册 申请 。 


YH 


。 根据 配置 任务 ， 


授权 规则 索 理 


选择 “USB 管 理 > USB 注 册 

> 授权 规则 管理 ”。 

单 击 “增加 ”。 

选择 一 个 已 注册 USB 给 音 

门 或 账号 使 用 - 


位 置信 息 
终 凋 IP 地 址 范围 : 
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对 于 东 些 重要 的 USB 存 储 设备 ， 在 注册 完成 局 ,~ 宦 理 员 能 够 限定 这 些 设备 只 能 由 指 且 人 
员 使 用 (包括 指定 账号 和 指定 部 门 的 淡 员 六 ， 或 者 只 能 在 指定 类 型 指定 iP 地 址 的 终端 上 
使 用 ， 避 免 其 他 人 员 从 这 些 设备 中 获取 重要 信息 。 如 果 管 理 员 没有 配置 设备 的 授权 规 
则 ， 则 所 有 人 都 能 使 用 该 设备 。 


注册 设备 党 理 


对 于 已 经 注册 的 USB 存 储 设 备 ， 官 理 员 能 够 查看 已 注册 设备 在 最 近 
30 天 的 违规 信息 ， 进 行 挂失 和 解除 挂失 等 操作 。 

选择 “UsB 管 理 > USB 注 册 > 已 注册 设备 ”， 管 理 已 注册 设备 : 

5 查看 已 注册 设备 的 使 用 信息 

o 挂失 已 注册 的 USB 存 储 设备 

0 解除 挂失 已 注册 的 USB 存 储 设备 
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。 查看 已 注册 设备 在 最 近 30 天 的 违规 信息 ,、 帮 助 管理 员 了 解 已 注册 USB 存 储 设备 的 违规 使 
用 信息 。 

。 当 已 经 注册 的 USB 存 储 设备 丢失 后 0 建议 管理 员 及 时 挂失 ， 避 免 由 于 非法 使 用 该 USB 存 
储 设备 而 导致 港 密 。 

。 对 于 已 注册 的 USB 存 储 设备 ， 管 理 员 能 够 导出 已 注册 设备 列表 ， 并 查询 和 删除 已 注册 的 
UsB 存 储 设备 。 


目录 


1. 运 晤 官 理 操 作 
2. 系统 维护 
2.1 系统 管理 员 


志 管 理 


D9 ~、 人 几 人 z 工 | LTI vm ED 
2.3 公 备 共 纹 部 小 


AAA 





1/ 一 一 和 || 十 口 
2.4 下 居 报 夫 


3， 运 维 工 具 
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。 本 万 主 要 介绍 终端 安全 系统 维护 有 天 操 作 。( 包 括 系统 管理 员 账 号 及 权限 管理 、 日 志 管 
理 、 设 备 升级 、 定 制 报 表 ， 另 外 管理 员 可 通过 公告 的 形式 向 所 有 的 代理 用 户 发 布 通知 。 
例如 ， 最 新 的 软件 和 补丁 安 关 通知 苍 公告 管理 本 教材 不 做 介绍 ， 可 查看 产品 文档 。 


角色 增加 


。 角色 是 一 系列 操作 权限 的 集合 。 当 角色 分 配给 账号 后 ， 
束 拥 有 了 该 角色 定义 的 所 有 操作 权限 。 


档 前 位 置 : 系统 维护 > 系统 管理 员 > 角色 管理 配置 路 径 
6 和 统 朋 色 角色 信息 列表 
告 审 计 员 
司 系 统管 理 员 据 述 
纪 远程 管理 员 Operate Admin 
LogAdmin 
System Admin 


Remote Admin 


研发 部 管理 员 | 
换 述 : ”管理 研发 部 
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。 在 策略 管理 中 心 的 管理 和 维护 过 程 中 ， 管 理 员 需 要 根据 职责 分 工 定 义 多 种 不 同 的 角色 
， 并 为 角色 授予 不 同 的 操作 权限 。 属 于 同一 种 角色 的 管理 员 ， 其 操作 权限 相同 。 当 创 
建新 管理 员 账 号 时 ， 管 理 员 只 需 为 管理 员 账 号 授予 指定 角色 ， 该 账号 会 自动 继承 指定 
角色 具有 的 所 有 操作 权限 。 通 过 角色 为 账号 授权 可 以 避免 重复 劳动 ， 减 轻 账 号 管理 的 
工作 负担 。 


角色 授权 


。 配置 路 径 : 系统 维护 > 系统 管理 员 > 角 色 管理 ， 单 击 角色 信息 
列表 中 相应 角色 授权 “ 骂 ” 为 其 分 配 权限 


为 指定 的 角色 授权 


忆 便 同系 统 资源 
习 呈 门 系统 维护 
习 避 站 系 统管 理 员 
习 司 由 密码 策略 
系统 管理 员 密码 强度 西 置 


司 回 增加 系统 管理 员 
习 回 晤 除 系统 管理 员 
习 回 编辑 系统 管理 员 
习 回 重 赤 系统 管理 员 密码 
习 疼 | 为 系统 管理 员 授权 
习 轩 分 配 北 务 权限 


确定 
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。 对 于 非 系统 默认 的 党 理 员 账 号 ， 需 要 分 配 特定 的 仅 限 后 ， 才 能 进行 相关 的 业务 操作 。 


。 授权 完成 以 后 能 够 操作 管理 器 各 功能 模块 的 静态 权限 。 对 应 于 管理 器 导航 栏 和 左 侧 菜 
单 栏 中 各 功能 模块 的 权限 


增加 常理 员 账 号 


用 户 名 账号 ES 
admin admin 配置 路 径 


换 作 员 OperateAdmin 

审计 员 LogAdmin 启用 

系统 管理 员 SystemAdmin 启用 

远程 管理 员 RemoteAdmin 启用 管理 中 心 对 本 
研发 部 管理 员 lifeng64501 局 用 18858266854 lifengzjhw@hu 


: “研发 部 管理 员 
: lifeng64501 


单 击 “ 增 加 ”如 左 图 所 示 ， 输 入 相关 参 
数 


: |18858266854 启用 : 管理 员 无 需 向 超级 管理 员 申 请 启 
: lifengzjh\w@huawei.com 用 账号 即 可 使 用 该 账号 登录 安全 管理 锋 
rm 或 管理 中 心 
下 次 登录 修改 密码 : 区 停 用 : 管理 员 需 要 回 超 级 管理 员 申 博 局 
说 对 - 用 账号 才 i 
z| 或 管理 中 心 。 
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。 admin 是 策略 管理 中 心 的 超级 管理 员 账号 ， 用 来 进行 权限 管理 和 系统 维护 工作 。 为 了 便 
于 按 部 门 来 维护 和 管理 部 门 信息 、 员 工 信 息 和 资产 信息 ， 通 弟 超 级 管理 员 为 每 个 部 门 
创建 一 个 管理 员 作 为 该 部 门 的 负责 水 由 部 门 的 负责 人 统一 管理 和 维护 部 门 的 所 有 信 
恩 ， 便 于 每 个 部 门 独立 运作 。 为 内 更 于 统一 管理 操作 权限 ， 请 根据 工作 所 需 的 操作 权 
限 规划 并 创建 不 同 的 角色 。 如 果 安 全 管理 器 和 管理 中 心中 不 包含 自 定 义 的 角色 ， 请 
创建 角色 。 


。 SystemAdmin、OperateAdmin、LogAdmin、RemoteAdmin 四 个 管理 员 账 号 只 具有 操作 
权限 ， 还 需要 分 配 业 务 权限 才能 管理 具体 的 部 门 。 


分 配角 色 及 业务 权限 


。 系统 维护 > 系统 管理 员 > 系统 用 户 ， 单 击 “ 研 发 部 管理 员 ”后 
面 的 “了 雁 ” 为 其 分 配 业 务 权限 ， 单 击 “ 用 ”为 其 分 配角 色 


一 


中 业务 权限 分 配 一 网页 对 话 新 网 页 对 话 窒 


多 阁 门 和 辟 村 命名 儿 站 3 水 习 网 角色 分 配 
各 门 ' "| 和 @ 厂 操作 员 
1 司 ROOTWGuesg 硼 发 布 - 息 厂 审计 员 
了 和 鲜 厂 条 统 管理 员 
全 元 得 管理 吕 


却 门 、 用 户 和 条 的 半 入 、 对 出 
增加 六 门 用 户 
撞 各 门 用 让 
拓 用 户 兴 训 六 除 
查看 订 门 才 户 六 和 
村 用 户 和 区 和 站 
用 P 了 号 管 理 
在 二 用 记 
风 呈 角色 管理 
| 六 RAoIu8 自 志 盏 济 ”” 表 RADIUS 日 直入 和 
Wh 页 太 共 1 < i |，6 访 于 砍 各 各 再 成 时 出名 单间 
人 UK Na 
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e 为 管理 员 账 号 授予 业务 权限 ， 管 理 员 以 管理 员 账 号 登录 才 具 有 进行 业务 相关 操作 的 权 
限 。 超 级 管理 员 admin 具 有 所 有 权限 ,\ 不 能 被 授予 业务 权限 。 


。 为 管理 员 账 号 授予 角色 ， 管 理 员 以 管理 员 账 号 登录 才 具 有 管理 相关 操作 的 权限 。 


缚 目录 


2. 系统 维护 
2.2 日 志 管 理 
2.3 设备 升级 部 署 
2.4 定制 报表 


3. 运 维 工具 
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系统 日 志 管 理 包括 : 查询 管理 员 账号 的 登录 六、 
日 志和 查询 SM 管理 器 的 系统 日 忘 。 
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曾 加 视频 监控 


WW huaAwel 


~ ~ J 下 大 
志 、 查 询 视频 监 


当前 位 置 : 系统 维护 > 日 志 管理 > 管理 员 和 登录 日 志 


上 线 时 间 用 户 IP 登录 结果 
2013-09-26 09.09.44 1.1.1.2 成 功 


2013-09-26 09:03:56 192.168.3.1 成 功 
2013-09-25 15:38:39 2013-09-25 16:47:54 1.1.1.2 成 功 
2013-09-25 14:07:50 2013-09-26 08:50:19 192.168.3.1 成 功 
2013-09-25 11:50:57 2013-09-25 12:50:52 192.168.3.1 成 功 


用 户 名 : 

单 击 “ 查 询 ” 输 入 要 查询 的 用 账号: 
户 名 、 账 号 、IP 等 查询 管理 员 的 用 户 Ip: 
登录 日 志 ， 支 持 模糊 查询 。 上 线 /下 线 ; 
上 线 时 间 开始 于 : 

下 线 时 间 规 止 于 ; 
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。 输入 要 查询 的 用 户 名 、 账 号 、IP 等 查询 管理 员 的 登录 日 志 ， 文 持 模 糊 碍 询 。 


~、 


。 通过 碍 询 管 理 员 账 号 的 登录 日 过， 可 以 站 解 各 个 管理 员 登 录 和 登 出 的 情 ; 


系统 日 忘 


当前 位 置 : 系统 维护 > 日 志 管 理 > 系统 日 志 
所 作 终 端 IP 时 间 操作 对 象 
127.0.0.1 2013-09-26 10:04:51 系统 管理 员 模 板 授权 
127.0.0.1 2013-09-26 09:37:49 修改 部 门 
127.0.0.1 2013-09-26 09:35:38 系统 管理 员 返 权 
127.0.0.1 2013-09-26 09:17:30 增加 系统 管理 员 
192.168.3.1 2013-09-25 17:11:01 增加 角色 
192.168.3.1 2013-09-25 17:02:50 任务 升级 配置 


单 击 “ 查 询 ” 输 入 账号 、 操 作 

终端 P、 起 始 时 间 、 结 束 时 间 、 ed 
操作 对 象 和 操作 名 称 等 参数 查 i 
询 系 统 日 志 ， 及 时 发 现 异常 情 拘 作 名 称 ; 


jo 开始 时 间 ; 
Eh 
操作 对 象 ; 
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管理 员 可 通过 账号 、 操 作 终 端 iP、 起 始 时 间 《CO 结束 时 间 、 操 作对 象 和 操作 名 称 等 参数 查 
询 系 统 日 志 ， 及 时 发 现 异常 情况 。 


缚 目录 


1. 运 品 管理 控 作 
2. 系统 维护 
2.1 系统 管理 员 


2.2 日 记 官 理 


2.3 设备 升级 部 署 
2.4 定制 报表 


3， 运 维 工 具 
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本 广 主 要 介绍 终端 安全 系统 的 安 流 部署 


代理 软件 上 传 


。 NAC Agent 的 定制 已 经 在 第 二 章 介 绍 ， 两 种 定制 方式 : 
o NAC Agent 的 安装 定制 
o NAC Agent 的 升级 定制 


。 客户 端 下 载 软件 URL :http://Policy center Server IP:8080/download 


配置 路 径 : 系统 维护 > 部 著 升 


级 > 代理 软件 上 伟 喇 vBR1 


+ 描述 ， | Policy center NAC agent| 
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。 该 下 载 界面 是 由 SACG 推 送 ， 所 以 在 配置 SACG 时 需 进 行 如 下 配置 : 


o [USG5300-rightm] right-manager authentication url http://Server 
Address:8080/download 








当前 位 置 : 系统 维护 > 部 署 和 升级 > 升级 任务 管理 
任务 升级 配置 
强制 代理 认证 前 升级 : 
合 IP 段 方式 升级 全 部 门 方式 升级 @ 删除 
任务 名 升级 版 本 


BD IF 段 方式 升级 网 页 对 话 框 


* 任 务 名 : ”代理 升级 
升级 版 本 : 

* 升 级 时 间 : 立刻 升级 
捧 述 : 


单 击 “IP 段 方式 升级 ”出 现 如 右 | | [Gx sms 


对 话 杠 ， 输 入 名 称 、 升 级 时 间 等 ， 起 入 IP 结束 P 
单 击 “增加 ”输入 网 段 ， 完 成 后 


如 有 图 所 示 
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升级 方式 有 3 种 : 
D 强制 升级 : 表明 在 不 升级 代理 的 情况 下 终端 用 户 将 无 法 继续 访问 网 络 。 
oO 非 强 制 升级 : 表明 在 不 升级 代理 的 情况 下 终端 用 户 依 然 能 够 访问 网 络 。 
D 手动 升级 : 由 终端 用 户 手 动 运行 新 版 本 的 代理 安装 程序 实施 版 本 升级 。 


缚 目录 


1. 运 品 管理 控 作 
2. 系统 维护 
2.1 系统 管理 员 


2.2 日 记 官 理 


2.3 设备 升级 部 署 
2.4 定制 报表 


3， 运 维 工 具 
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本 节 主 要 介绍 终端 安全 系统 终端 安全 评估 报表 是 市。 


。 策略 


口 





上 传 报表 模板 


局 - 系统 维护 > 定制 报表 > 报表 和 醒 板 
次 |/ 上 传 模板 文件 | 加 删除 
模 要 名称 描述 
安全 事件 评分 统计 图 对 整个 公司 或 者 某 个 部 门 在 一 段 时 间 内 ,整体 安全 策略 的 遵从 情况 进行 统 
终端 状态 统计 图 系统 中 离线 终端 ， 在 线 违规 和 在 线 隔离 终端 数量 分 布 讲 图 
终端 安全 趋势 图 最 近 30 天 内 各 条 安全 策略 的 安全 事件 趋势 图 
安全 事件 TopN 分 析 图 对 特定 时 间 段 、 部 门 范 围 或 IP 地 址 范围 内 所 产生 的 安全 事件 进行 多 纬度 的 .… 
安全 策略 违规 状态 图 当前 在 线 终端 产生 安全 事件 最 多 的 安全 策略 ( TopN ) 
安全 策略 隔离 状态 图 造成 当前 在 线 终 端 被 隔离 数量 最 多 的 安全 策略 ( TopN ) 
在 线 终 奖 趋势 图 最 近 1、2、4、8、12 小 时 内 在 线 和 在 线 隔离 终端 数量 趋势 图 


外 报 表 模 板 是 区 上传 简 板 文件 -- 网 页 对 话 杠 


上 传 类 型 : @ 模板 集合 


[1 


ReportTemplate.zip 
格式 的 文件 。 需 要 将 新 
的 报表 模板 上 传 到 系统 
中 。 
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管理 中 心 默 认 文 持 以 下 报表 模板 


安全 事件 评分 统计 图 对 指定 部 门 太 其 一 级 子 部 门 在 指定 时 间 内 所 有 策略 进行 统计 
得 出 的 评分 。 得 分 越 高 ， 表 明 该 部 门 在 指定 时 间 内 的 策略 违规 越 少 。 


终端 状态 统计 图 统计 当 衣 在 线 无 违规 、 在 线 有 违规 但 未 被 隔离 、 在 线 有 违规 并 且 
局 隔离 和 未 上 线 终端 主机 的 数量 分 布 饼 图 。 


终端 安全 趋势 图 截至 统计 时 间 的 最 近 30 天 内 ， 统 计 指 定 策略 的 违规 数量 。 


T 


安全 事件 TepN 分 析 图 统计 指定 部 门 及 其 一 级 子 部 门 在 指定 时 间 内 菏 条 策略 的 违 
规 次 数 。 

安全 策略 违规 状态 图 统计 当前 在 线 终端 主机 违规 数量 最 多 的 前 2? 条 策略 。 
安全 策略 隔离 状态 图 统计 当前 包 隔 离 在 线 终端 主机 数量 最 多 的 前 5 条 策略 。 


在 线 终端 趋势 图 统计 指定 时 间 段 内 在 线 终端 主机 与 被 隔离 域 终端 主机 的 数量 


即时 报表 管理 


。 配置 路 径 : 系统 维护 > 定制 报表 > 及 时 报表 管理 ， 单 击 右 侧 报 
表 栏 中 “增加 ”输入 名 称 ， 模 板 选 择 “ 在 线 终端 趋势 图 单 
击 “ 确 定 ” 单 击 “ 了 》 ”可 看 到 终 闹 在 线 趋势 。 


BS 1 一 网 页 对 话 杠 导出 报表 到 由 本 
在 线 终端 趋势 图 
报表 基本 信息 
“报表 名 称 ， 研发 部 
拔 示 到 


"报表 在 线 和 六 四 


报表 参数 配置 
时 间 范围 。 最 近 8 小 时 
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。 即时 报表 指 立 即 能 生成 的 报表 。 管 理 员 可 以 在 创建 完 即时 报表 后 ， 立 即 执行 或 者 随时 
执行 报表 ， 以 便 迅 速 了 解 当 前 最 新 的 报表 信息 。 


周期 报表 党 理 


台 修 改 周 其 报表 网页 对 话 框 


配置 路 径 : 系统 维 | on 二 
、 定 本 至 其 * 报 表 模 板 : ”在线 终 靖 趋 瓜 图 SS 次 性 任务 : 在 指 
Pe 周期 | 2 和 
管理 。 及 表 ， 只 执行 一 次 。 
0 人 
和 天 每 册 或 和 月 指 
完成 配置 后 3 可 单 执行 时 间 : 12:00 全 的 执行 时 间 生 成 


击 周 期 性 报表 “ 研 报表 ， 即 周期 执行 。 
发 部 ”后 面 “ 
”输出 不 同 格式 的 


时 间 范 围 : 最 近 8 小 时 
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通过 创建 周期 报表 ， 系 统 会 根据 指定 的 执行 时 间 定 时 生成 报表 。 
选择 使 用 哪 一 种 报表 模板 生成 报表 。 策 略 管理 中 心 默 认 的 报表 模板 中 ， 周 期 报表 只 
持 以 下 报表 模板 : 

0 在 线 终端 趋势 图 

oO 安全 事件 评分 统计 图 

D 安全 事件 TopN 分 析 图 

D 终端 安全 趋势 图 
选择 “在 线 终端 趋势 图 ”时 ， 需 要 设置 以 哪个 时 间 段 统计 “在 线 终端 趋势 图 ”， 支 持 
选择 以 下 时 间 段 : 

o 最 近 1 小 时 

o 最近 2 小 时 

o 最近 4 小 时 


缚 目录 


运营 管理 操作 
系统 维护 
运 维 工具 


3.1 Server monltor 





Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 91 Vb HUAVWEI 





本 节 主 要 介绍 终端 安全 系统 运 维 工 Server .Moniter 的 使 用 。 


Server Monitor 人 简介 


Server Monitor 是 查看 Policy Center 管 理 器 或 控制 器 的 运行 状态 信息 的 一 
蒜 工 具 ， 当 管理 器 或 制 器 出 现 异常 时 ，Server Monitor 将 会 产生 告警 ， 帮 
助 管理 员 尽 早 发 现 故 障 。 


。 应 急 处 理 : 当 发 生 严重 故障 ， 可 以 利用 该 工具 手工 开局 逃生 通道 


文件 人 ) ”查看 WW) 设置 0) 窗口 轨 帮助 00 
畏 lsx| 曾 尖 天 二 国 0o:0!:20:40 w 
wx 





放行 全 网 | | 查看 洁 村 | [ 清除 省 警 | 


任务 ID 地 址 / 鉴 控 项 
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Server Monitor 是 查看 Policy Center 管 理 器 或 控制 器 的 运行 状态 信息 的 一 球 工 具 ， 当 管 
器 或 制 器 出 现 异常 时 ，Server Monitor 将 会 产生 告警 ， 帮 助 管理 员 尽 早 发 现 故 障 ， 在 收 到 
Server Monitor 产 生 的 告警 信息 后 ， 管 理 员 需要 仔细 分 析 告 警 信息 并 判定 管理 器 或 控制 器 是 
否 确实 产生 故障 。 对 于 已 经 影响 Palicy Center 正 常 运行 的 故障 ， 管 理 员 需要 立即 采取 应 对 
间 施 ， 为 恢复 故障 争取 宝贵 的 时 间 ， 另 外 通过 防火 墙 助 手工 具 可 以 实现 在 交付 阶段 分 网 段 
进行 业务 割 接 功 能 ，ServerMenitor 监 控 项 目 主 要 有 : 


。 服务 器 连接 状态 
0 检查 Server "Monitor 与 管理 器 之 间 的 连接 状态 ， 检 查 Server Monitor 与 控制 器 之 间 
的 连接 状态 o 
@ 连接 状态 。 


oO 仅 适 用 于 管理 器 或 管理 器 + 控制 器 ， 检 查 管 理 器 控制 器 之 间 的 连接 状态 ， 如 果 管 
理 器 与 控制 器 连接 失败 ，Server Monitor 将 会 告诉 管理 员 控制 器 的 IP 地 址 。 


。 SACG 连接 状态 


0 检查 控制 器 与 安全 接 入 控制 网 关 之 间 的 连接 状态 ， 如 果 控 制 器 与 安全 接 入 控制 网 
关连 接 失 败 ，Server Monitor 将 会 告诉 管理 员 安 全 接 入 控制 网 关 的 IP 地 址 。 


。 包括 TCP 连 接 数 、License 信 息 ， 以 及 终端 数量 等 都 是 监控 的 项 目 。 


Server Monitor 安 装 


。 运行 ServMonsetup.exe ， 选 择 安 装 语 言 : 中 文 (简体 ) 出 现 
如 右 图 安装 同 导 ， 单 击 “ 下 一 步 ” 完 成 安装 。 


大 时 的 用 Server 了 onitor Y2.1 安 装 回 


这 个 向 导 将 指引 你 完成 “Server Nonitor" 的 安装 进程 。 


在 开始 安装 之 前 ， 建 议 先 关闭 其 它 所 有 应 用 程序 。 这 将 
和 


单 击 [ 下 一 步 0)] 继 续 。 
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Server Monitor 配 置 流 程 


修改 服务 器 监控 密码 


mm 


修改 ServerMonitor 运 行 
参数 


创建 监视 任务 
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修改 服务 兹 监控 密码 


。 配置 路 径 : 系统 配置 > 服务 器 配置 > 服务 器 监控 配置 ， 配 置 监控 口令 
， 设 置 密码 为 : huawei@123 


Policy Center 


用 户 与 绪 应 接 入 控制 第 格 安全 规则 癌 理 补丁 营 理 软件 分 发 资产 党 理 US8 当 于 


当前 位 置 : 系统 配置 > 服务 器 配置 > 服务 器 筷 控 配置 
日 “服务 器 配置 


se 密码 最 小 长 度 为 6 位 
se 密码 攻 大 长 度 为 20 位 
上 河 行为 管理 设备 记 填 
RADIUS 服 务 器 配置 
短信 骤 务 路 辽 置 
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密码 管理 员 目 定义 ， 但 是 必须 要 与 Server Monitor 的 密码 配置 一 致 ， 两 者 才 可 以 联动 成 
功 。 


即 置 服务 怖 状态 监控 参数 
在 菜单 栏 选择 “设置 > 系统 设置 ” 单 击 国 。 


司 公共 属性 日 系统 区 十 
站 系统 设置 操作 系统 启动 时 自动 运行 
设置 肖 警 辣 值 定时 检查 间隔 时 间 (分 ) 
开局 对 话 框 肖 警 
对 话 框 洁 警 间 隅 时 间 (分 ) 
开 司 邮件 肯 警 
开局 短信 上 洁 敖 
每 页 显示 记录 个 数 
日 邮件 告警 设置 

收 件 人 地 址 
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设置 Server Monitor 的 系统 参数 ， 以 便 管 理 员 修改 Server Monitor 的 启动 方式 、 告 警 检 查 
期 、 对 话 框 告警 开关 的 状态、 对 话 框 告警 间隔 时 间 、 邮 件 告警 和 短信 告警 开关 的 状 


创建 监控 任务 


。 创 建 监 控 任 务 , 单 击 Server 


€ A 和 加 用 控 任务 :注意 任务 ID 请 不 要 使 用 空格 等 特殊 字 


Monitor“ ;六 ”参数 如 下 Se 
配置 任务 ID: policycenter - 服务 吕 江 e050。 


0 仁 沈 
任务 ID: policy center 


服务 器 地 址 : SM/SC 的 IP 地 址 
端口 : 8080 
o 监控 口令 : 通信 口令 
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。 注意 密码 的 配置 需 与 Policy Center 的 配置 相同 。 


服务 怖 状态 监控 


。 查看 服务 器 运行 状态 


去 址 / 莫 蓉 项 信息 
1.1.1.2:8060 [省 敖 历 史 ] | 服务 器 存在 当 警 





外 verlonitor [党 警 信息 ] 
文人 查看 () 有 窗口 外 帮助 册 ) 
台 js 人 | 时 图 0;01:40:47 


vx 


nm | 
policycenter | 
HO 
.1.1.2:8080 (policycen ;5 友 莘 必 晓 】 [2013~10-08 11:37:08]】 让 环 尽 oe 
[RICE (policycen ME 个 员 了 设 定 范围 ， 而 和 010-08 11-37.08] 人 
1.1.1.2:8080 (policycen .， 制 余 接 入 Licensei 计 数 异 常 ”超出 了 设 定 范围 , 当前 值 为 50 [2013-10-08 11:37:09】 服务 器 上 的 数据 不 济 症 识 浅 的 河 转 ,可 能 影响 概 务 器 的 正常 运行 ? 
1.1,1,2:8080 (policycen , ， 制 余 访 客 Licensel++ 数 异 需 ”超出 了 设 定 范围 ,当前 什 为 50 [2013-10-08 11:37:09] 骤 务 著 上 的 数据 不 油 二 8 着 的 范围 ， 可 能 影响 服务 器 的 正常 运行 


11 2:8080 (policycen .， 剖 祭 USB License 计 数 异 “超出 了 设 定 范围 ， 当 前 逢 为 50 [2013-10-08 11:37:09】 玻 务 器 上 的 小 的 不 满 殿 以 置 的 范围 ， 可 能 影响 概 务 器 的 正常 运行 + 
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。 在 众多 告警 信息 中 ， 过 滤 告 警 项 目 监视 任务 中 剔除 不 关注 的 告警 项 目 ， 以 便 管 理 员 只 
收 到 天 注 的 告警 项 目的 告警 信息 ， 避 免 告 警 过 多 而 忽略 重要 的 告警 。 


。 Server Monitor 可 以 配置 邮件 、 短 信和 通知 管理 员 及 时 处 理 告 警 


目录 


运营 管理 操作 
系统 维护 

运 维 工具 

3.1 Server monltor 


3.2 扫 摘 器 
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。 本 下 主要 介绍 扫 摘 器 的 使 用 。 


扫 摘 希 简 介 


。 设备 扫描 是 指 网 络 管理 员 通 过 软件 或 硬件 在 网 络 中 进行 探测 并 发 现 设 备 类 
型 、 名 称 、 地 址 和 数量 ,方便 网 络 管理 员 了 解 整个 网 络 中 的 设备 类 型 和 数 
量 ， 扫 摘 器 使 用 场景 : 

o 在 部 署 Agent 代 理 之 前 ， 创 建 一 次 性 的 扫 拉 任务， 收集 设备 分 类 和 数量 。 
o 在 部 署 Agent 代 理 时 ,创建 周期 性 的 扫描 任务 ， 用 于 评估 Agent 代 理 的 部 署 进度 


o 在 部 署 Agent 代 理 后 ， 创 建 周 期 性 的 扫 拉 任务， 用 于 收集 新 设备 接 入 网 络 和 地 载 
Agent 代 理 的 告警 。 
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扫 接 器 的 作用 : 
0 管理 员 在 部 署 NAC Agent 代 理 表 收集 整个 网 络 的 设备 类 型 和 数量 ， 发 现 网络 中 疫 


已 

有 部 署 代理 的 终端 主机 ， 并 恢 助 部 署 代 理 。 在 部 署 代 理 前 ， 汇 总 终端 主机 的 数量 
， 以 便 管 理 员 初步 评估 代理 的 部 嗜 进度 安排 。 在 部 署 阶 段 ， 便 于 管理 员 评 估 部 署 
进度 和 效果 ， 以 便 提醒 和 监督 没有 安装 NAC Agent 代 理 的 终端 用 户 安 装 NAC 
Agent 代 理 。 


利用 扫描 结果 快速 配置 例外 设备 。 设备 扫描 帮助 管理 员 发 现 并 放行 不 适合 进行 接 
入 控制 的 设备 。 例 如 ， 管 理 员 无 法 在 IP Phone、 打 印 机 、 门 禁 系统 等 特殊 设备 ( 
称 之 为 例外 设备 ) 上 安装 代理 ， 而 这 些 设备 在 正常 工作 时 需要 访问 网 络 。 在 启用 
终端 主机 接 入 控制 后 ， 这 些 例外 设备 因 未 通过 身份 认证 导致 无 法 访问 网 络 ， 进 而 

法 为 终端 用 户 提供 服务 。 此 时 ， 管 理 员 通过 对 设备 扫描 结果 中 的 未 知 设备 进行 
分 析 和 排查 ， 并 把 例外 设备 加 入 认证 前 域 ， 确 保 例外 设备 能 够 正常 访问 网 络 。 
对 新 接 入 网 络 的 设备 或 卸载 代理 的 终端 主机 进行 告警 。 对 于 新 发 现 的 设备 接 入 网 
络 ， 或 者 发 现 终端 用 户 卸 载 代 理 ， 扫 描 器 产生 告警 ， 提 醒 管理 员 关注 新 接 入 网 络 
的 设备 或 卸载 代理 的 终端 主机 ， 评 估 此 事件 对 网 络 安全 的 影响 。 


扫 搓 话 安 六 (1) 


e。 运行 DeviceScannerSetup.exe ， 选 择 安装 语言 ， 单 击 “ 下 一 


公 Device Scanner 


eri Scanner Y2. 0 安装 向 


人 “Device Scamer” 的 安装 进 


大江 始 吉 半生 站， ， 建议 先 关 闭 其 他 所 有 应 用 程序 。 这 将 
省 < 蝎 新 指定 的 系统 文件 ， 向 个 需要 重新 
计 


单 击 [下 一 步 0)] 继续 。 
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扫 拍 颖 安 狠 (2) 


。 输入 Policy Center 管理 器 IP 地 址 


四 Device Scanner 


巩 置 管理 器 IP 地址 
正在 等 待 用 户 输入 管理 器 IF 地 址 , 请 稍 候 . .. 


请 在 下 面 的 文本 框 中 输入 管理 器 地 址 。 


Eee 
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。 扫描 器 与 策略 中 心 联动 需 输入 管理 器 IP 地 址 (2 需 保证 扫描 器 所 在 设备 与 Policy Center 管 
理 器 路 由 可 达 。 


增加 扫 折 怖 


在 管理 器 的 导航 栏 单 击 “ 系 统 维护 ”。 

在 左 侧 菜单 栏 中 选择 “设备 扫描 > 扫描 器 管理 ”。 
单 击 “增加 ”。 

设置 扫描 器 的 连接 参数 。 


扫描 器 描述 ; 
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。 输入 扫 摘 器 所 在 设备 可 用 IP 地 址 ， 注 意 : ,本 和 例 申 扫 摘 器 与 Policy Center 管 理 器 ， 安 六 在 
同一 人 台 设 备 上 故 IP 地 址 配置 相同 。 


设置 扫 摘 希 参 数 


Owm © Mt Ca 
扫描 器 名 称 


BS EBL Tl 同 页 对 话 框 


开始 IP 地 址 
增加 IP 地 址 段 
类 型 : 加 IP 地 址 段 
“开始 IP 地 址 : 1.1.1.1 
+ 二 止 IJP 地 址 : | 1.1.1.254| 


届 置 周期 扫 葡 在 务 
是 天 周期 扫 摘 


周期 扫描 方式 


扫描 周期 (分 钟 
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。 按 网 段 扫 拉 设备， 适用 于 在 指定 的 网 段 范 围 内 进行 设备 发 现 的 场合 。 


。 按 网 段 扫 拉 设备， 首先 需要 确定 目标 网 段 的 PP 地 址 学 围 。 如 果 管 理 器 管辖 范围 内 部 署 了 
多 人 台 扫 摘 器 ， 在 为 不 同 的 扫 摘 器 配置 扫 摘 参数 时 ， 为 了 提升 设备 扫 摘 效率 ， 各 人 台 扫 拍 
器 扫描 的 IP 地 址 段 不 要 重 倒 。 


。 力 了 扫 拉 器 能 够 获取 交换 机 或 路 由 器 的 详细 信息 ， 管 理 员 还 需要 获取 交换 机 或 路 由 器 
的 SNMP 只 读 团 体 字 。 交 换 机 或 路 由 器 在 同 网 管 《这 里 是 指 扫 摘 器) 上 报 自身 的 信息 之 
恒 ， 会 检查 网 管 提 供 只 读 团 体 字 与 设备 目 身 的 只 读 团体 子 是 否 匹 配 ， 以 验证 扫描 峰 是 
否 有 权限 读 取 本 设备 的 信息 。 


查看 扫 摘 结 琳 


查看 路 径 ， 系 统 维护 > 设备 扫 摘 > 设备 管理 ， 可 以 看 到 安 疹 代 
理 的 主机 信息 与 没有 安 狂 代理 的 主机 信息 。 


同 还 可 以 对 扫 摘 发 现 的 设备 加 入 相应 的 组 ， 便 于 党 理 。 


当前 位 置 : 系统 维护 > 设备 扫描 > 设备 管理 
OO 喜光 网 加 入 组 过 导出 | @ 删 除 | 仿 剧 新 | 可 标记 免 安 装 代 理 | 羽 撒 销 标 记 
设备 名 IP 地 址 MAC 地 址 设备 类 型 安装 代理 标记 免 安装 代理 最 近 扫描 时 间 
1 HUAWYEI-23EBEB99 4.1.4.2 00-1E-90-B3-05-80 PC 设备 未 安装 2013-10-08 16:14:07 
2 lwx64015 1 区 六 E8-9A-8F-B0-C6-B60 PC 设备 已 安装 2013-10-08 16:13:46 
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。 建议 按 用 途 对 已 发 现 的 设备 进行 分 类 ， 方 便 管 理 员 对 设备 进行 分 类 管理 和 分 类 查询 。 


目录 


运营 官 理 操 作 
系统 维护 
运 维 工具 


3.1 Server monltor 


3.2 扫 折 器 


3.3 信息 采集 工 上 ~ 
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。 本 帮主 要 介绍 信息 采集 工具 使 用 。 


服务 怖 故障 信息 采集 (1) 


。 使 用 “administrator" 账 号 登录 Microsoft Windows Server 2003 操 作 系统 ， 选 
择 开始 > 程序 > Huawei > Policy Center > Server Collector， 单 击 “ 开 始 ” 
进行 信息 收集 。 

Server Collector 


站 》 信息 采集 是 收集 本 机 的 相关 信息 便于 相关 技术 人 员 定 位 软件 存在 的 问题 。 单 击 "查看 详情 " 
a 链接 可 以 查看 采集 的 详细 资料 ， 单 击 " 打 开 保 存 目录 "链接 可 以 打开 信息 保存 的 文件 严 。 


采集 项 


奖 口 与 路 由 
系统 日 志 与 硬件 信息 

DUNMF 文 件 

进程 ， 服务 与 启动 项 

共 序 信息 与 系统 帐户 信息 
软件 与 补丁 

服务 器 安装 文件 信息 与 日 志 
File Zilla 日 志 


正在 采集 信息 ,请 稍 仇 ...,.， 





。 当 服 务 器 出 现 故障 可 以 使 用 该 工具 ， 方 便 问题 定位 。 


服务 怖 故障 信息 采集 (2) 


时 采 统 检测 结果 - Wicrosoft Interaet Explorer 

文件 位 ) 编辑) 查看 WV) 收 诚 6) 工具 CG) 帮助 00 

OAR -OW wR OO Ss 

地 址 名 ) | 优 ] D:\Progran Files\Policy Center\tools\CPlusPlusTools\TSMServer\CollectLog\log htm 


服务 器 状态 检测 报告 
检测 时 间 : 2013-10-08 14:55:33 


计算 机 名 HUAWEI-23EBEB99 
当前 账号 ， 点 dmimlstrator 


用 户 域 ， 








服务 器 安装 路 径 ， DProgram Files\Policy Center 
日 志 目 录 
1、 系 统 类 型 


操作 系统 名 称 crosoft Windows Server 2003 Enterprise Edition[D\WINDOWSNDevice\HarddiskO\Partition2 
crosoftR WindowsR Server 2003 Enterpnise Ediion 
近 登 录 时 间 20131008084603.375000+480 
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。 可 以 查看 到 服务 器 设备 信息 ， 操 作 系 统 信 息 《 软 人 硬件 信息 等 。 


终 病故 障 信息 采集 〈11) 


。 NAC Agent> 系 统 帮助 >“ 运 行 故障 诊断 工具 ”> 信息 采集 ， 单 击 “ 
开始 


(全 》 信息 用 集 是 收集 本 机 的 相关 信息 便于 相关 技术 人 员 定位 软件 存在 的 问题。 
~ 可 以 查看 采集 的 详细 资料 ， 单 击 写 出 绊 情 谤 推 避 


2 0 
端口 与 路 由 
关键 注册 表 项 信息 

系统 DUMP 文 件 和 日 志 
进程 ， 服 务 与 启动 项 
共享 与 帐号 

软件 与 补丁 

代理 安装 文件 信息 与 日 志 
系统 与 硬件 信息 


WW HuaAwel 
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当代 理 出 现 故 障 后 ， 终 端 用 户 使 用 管理 员 账 号 运 行 故 障 诊断 工具 ， 在 采集 故障 信息 时 ， 
选择 将 故障 采集 结果 存放 在 果 面 。 故 障 信息 采集 完成 后 ， 终 山 用 户 单 击 “ 导 出 详情 ， 
查看 采集 结果 ， 弹 出 的 桌面 窗口 中 没有 log.zip 文 件 。 


查看 详情 ”， 可 碍 看 到 终 妆 信 


辣 六 过 


六 


-- 采集 时 间 : 2013/10/8 15:46:16 


计算 机 名 LWX64015 

当前 账号 ， IWX64015 

用 户 域 ， china huawei com 

代理 安装 路 径 ， CiProgram Files HuaweiTSM Agent 
代理 安装 日 期 ， 2013-10-08 

代理 版 本 ， V100R003C00 

当前 账号 类 型 ， 普通 账号 

普通 账号 ， tifeng64015 

是 否 启用 802.1X 否 
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。 通过 代理 故障 诊断 工具 收集 代理 与 故障 相关 前 信息 ， 然 后 提交 
程 师 帮 助 定位 故障 。 








[| 
IJ 人 


息 如 下 : 


或 华为 扩 术 工 


区 远程 采集 故障 信息 二 


。 运行 Remote Log Collector.exe (为 了 防 目 滥用， 该 程序 安 
有 


[NE 人 

新 建 任务 UX, 重新 执行 @ ,9 才 助 

口 序号 目标 PP 开始 时 间 日 志 大 小 “已 用 时 间 状态 传输 完 ,,， 详细 信息 
设 有 要 显示 的 记录 


任务 : 0 个 ; 等 待 : 0 个 ; 成 功 : 0 个 ; 失败 : 0 个 ; 
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。 远程 日 志 采 集 工 具 是 策略 管理 中 心 管理 员 用 志和 远 程 采 集 终端 主机 日 志 的 工具 ， 适 用 于 
以 下 场景 : NAC 客 户 峭 无 法 正 冲 工作 ， 方便 到 改 障 现场 ， 并 且 不 万 便 指导 终 闹 
用 户 使 用 NAC 客 户 站 诊 断 工 具 ， 从 而 通过 远程 方式 采集 与 诊断 NAC 客 户 冰 故 障 相关 的 日 


= 
/CNO 
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配置 通信 口令 


。 配置 通信 口令 ， 默 认 口 令 : Admin@123， 管 理 员 可 修改 默认 口令 
:系统 配置 > 终端 配置 > 全 局 参数 > 配置 远程 采集 日 志 密 码 


修改 密码 为 : 
huawei@123 


用 户 与 终端 。 接 入 控制 策略。 安全 规则 管理 。 “补丁 管理 。 “软件 分 发 资产 管理 。 “US8 管 理 


当前 位 置 : 系统 配置 > 终端 如 置 > 全 局 参数 = 
四 “ 司 服 务 器 配置 修改 远程 采集 日 志 密码 


四 “局 救 据 库 辽 叶 管理 终端 代理 自 启动 和 非 AD 域 用 户 登 录 设 置 "入 密码 [ccceccccoee 
一 配 署 代理 终端 认证 类 型 “确认 密码 eeeeeeeeee| 


全 局 参数 和 
密码 设 定 规则 : 

局 部 多 娄 陈 亚 子 问 快速 下 载 参数 。 密码 最 小 长 度 不 能 小 于 6 位 

防 郑 载 室 码 生成 配置 韦 规 上 报 周 期 参数 e 密码 最 大 长 度 不 能 大 于 12 位 

昌林 管 理 中 心 配置 下 推 主页 URL 


司 Ucense 管 理 
配 秆 定制 的 终 庙 的 显示 标题 和 显示 图 标 
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通信 口令 默认 为 Admin@123， 该 口令 需 与 采集 工具 配置 相同 ， 两 者 才能 联动 。 


设置 日 志文 件 的 体 存 路 径 和 日 志 采 集 客 码 


© 单 击 “参数 1 及 置 - 设置 日 志 存 放 目 录 及 日 志 采 集 密码 


Renote Log Collecter 


E09 


口 序号 目标 IP 开始 时 间 日 志 大 小 已 用 时 间 状态 








输入 通信 口令 


日 志 采集 密码 可 以 在 服务 器 凋 的 全 局 参数 中 设置 。 
此 处 设置 的 密码 必须 与 服务 器 端 设置 的 采集 密码 保持 一 致 。 


Cas |] ww | 





h 
I 
ct 
| 
UH 
+ 
汤 
O. 
3. 
匡 
& 
Me 
臣 
JT 
DU 
OO 
©) 
NS 
CY 
OD， 
= 
OD， 
pe 
wT 
I 男 
A 
> 
IDD 
串 


3 
壮 层 : 


新 建 标 准 采集 任务 


单 击 新 建 任务 ， 选 择 单 点 采集 ， 输 入 终端 IP 地 址 ， 单 击 “ 确 定 - 


站 Log Collecto 


[he 重新 执行 @ 4 gg 





序号 目标 IP 








人 标准 日 志 采 集 个 扩展 日 志 采集 


[ 需要 用 户 授权 
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。 建立 单 点 采集 任务 输入 终端 iP 地 址 ， 即 知 采集 一 人 台 终 端的 日 志 人 信息， 当然 可 以 采用 “IP 
段 采 集 ”， 在 采集 模式 选择 标准 采集 。 


检查 结 


。 当日 忘 采集 任务 执行 成 功 后 ， 双 击 日 志 采 集 任务 ， 查 看 所 采 


集 的 人 端 主机 上 日志。 界面 显示 日 志文 件 的 存放 目录 。 单 击 
Loo ‘QAr>Log. 


文件 于 ) op 和 和 TT 帮助 0D 
申请 RE 加- 口 国 的 | 万 摘要 广 收 世 赤 全 | 二 避 
2 | 乱 ]D \Docunents and Settings\Adninistr 


| 计算 机 名 ; ”LWX64015 
当前 账号 ， SYSTEM 
用 户 域 ， china huawei com 
代理 安装 路 径 ， Ci\Program Files\HuaweNTSM Agent 
代理 安装 日 期 ， 2013-10-08 
代理 版 本 V100R003C00 
当前 账号 类 型 ， 普通 账号 
普通 账号 ， 
是 否 启 用 802.1X: 否 


LE 日 补 日 续 
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。 可 以 看 到 用 户 终端 主 机 软 硬 件 信 息 ， 登 陆 方 区 


全 日 


运营 管理 操作 
系统 维护 
运 维 工具 

3.1 Server monitor 


3.2 扫 折 器 





s 3 信 ， 屿 采集 工具 


4 远程 协助 
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。 本 广 主 要 介绍 终 并 安全 系统 远程 协助 工具 ,( 通 过 该 功能 的 使 用 ， 管 理 员 可 以 远程 登陆 
到 终端 主机 进行 操作 ， 方 便 运 莒 维护 。 


配置 远程 协助 模板 


。 系统 配置 > 终端 配 置 > 局 部 参数 > 远程 协助 ， 单 击 “ 增 加 ” 


用 户 与 终端 ” 接 入 控制 第 略 。 安全 规则 管理 。 。 补丁 管理 。 ”软件 分 发 。 ”资产 管理 。 ”use 管理 ” 革 玉 5 天。 未 纹 堆 护 


rm 
四 “[ 国 服务 器 配置 当前 位 置 : 系统 配置 > 终端 配置 > 局 部 参数 
局 部 侈 数 模板 列表 
快速 入 门 ~ 


强制 终端 咏 知 载 和 
SC 配置 ii 模板 名 称 全 查 启 = 


归属 地 配置 Ds 模板 名 称 模板 掺 述 


* 模 板 名 称 : [policy centel 


输入 名 称 : policy center ee 
勺 选 “显示 远程 协助 配置 ” 设置 参数 信息 


名 | 显示 远程 协助 配置 
远程 协助 控制 定制 


定 制 远程 协助 控 制 交 允许 运程 协助 控制 避 允许 终端 修改 此 项 
远程 协助 查看 定制 


5 制 | 远 程 协 助 查 看 己 允许 远程 查看 局 允许 终端 修改 此 项 


注意 : 
。 远程 协助 需要 终端 用 户 授权 。 


确定 4 NA 
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设置 远程 协助 参数 ， 以 便 管理 员 能 够 远程 控制 或 查看 终端 主机 。 同 时 ， 设 置 是 否 允 许 
终端 用 户 在 代理 修改 远程 协助 参数 。 


分 配 远 程 协助 模板 


。 完成 模板 配置 后 ， 单 击 远程 协助 模板 后 面 于 分 配 模板 给 研发 部 ， 
单 击 “确定 ” o 


分 配 部 门 ,账号 ,终端 了 P 地 址 范围 


x 
> rl 光 议 不 要 同 8 给 部 门 和 oF3 络 区 域 开 因 终 沿 多 数 ， 知 由 将 不 容易 识别 菜 个 终端 实际 使 用 的 横 
。 生效 优先 级 : 账号 > 网 络 区 域 > 部 门 。 
分 配给 部 门 | 分配 获 三 号 | 分 醒 关 终 问 下 地 十 范 国 


该 模板 已 分 本 给 下 到 部 门 (如 果 选 择 父 部 门 ， 则 子 部 门 继承 父 部 门 设置 。) 
父 , 部 门 树 加 部 门 列表 全 移 除 

加 部 门 搞 壕 
1 ] ROOTWGuestg 开 发 部 
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WW HUAWEI 
分 配 改 模板 到 研发 部 。 


、\ 一 SL mi 
远程 协助 密码 设 定 
e。 选择 “用 户 与 终端 > 部 门 用 户 > 在线 用 户 管 理 ”。 


。 在 待 协助 的 在 线 用 户 右 侧 单 击 篇 。 
。 注册 远程 协助 的 密码 ， 单 击 “ 注 册 - 


远程 协助 密码 臣 定 
* 视 频密 码 ; seeeeeeee| 
请 输入 一 个 长 度 在 6-- 12 位 的 密码 ， 若 注册 成 功 ， 它 将 会 是 您 必须 是 通过 认证 的 终 
的 视频 客户 端 登 录 的 密码 。( 注 : 此 密码 是 临时 密码 ) 端 才 可 以 远程 协助 ， 
同时 对 终端 操作 系统 
有 要 求 。 
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。 对 于 终端 主机 的 操作 系统 类 型 的 要 求 管理 员 凶 能 对 采用 如 下 操作 系统 类 型 的 终端 主机 
进行 远程 协助 : 
o Microsoft Windows 2000 
o Microsoft Windows Servers2003 
op Microsoft Windows XP 32 位 和 Microsoft Windows XP 64 位 
o MicrosoftAVindows 7 32 位 和 Microsoft Windows 7 64 位 
o Microsoft Windows 8 


o^\ Microsoft Windows Vista 


。 < 在 使 用 远程 协助 功能 时 ， 管 理 员 需要 输入 该 密码 作为 连接 终端 主机 的 凭证 。 该 密码 的 
有 效 期 为 : 


0 ”从 注册 密码 开始 ， 有 效 期 持续 30 分 钟 ， 逾 期 密码 将 会 失效 。 
o ”如 果 管理 员 使 用 “” 连接 终端 主机 成 功 ， 则 该 密码 立即 失效 。 


远程 协助 日 志 提 区 及 各 户 病 下 载 


远程 协助 
远程 协助 提示 
现在 您 可 以 利用 IP 和 密码 值 通过 视频 客户 端 些 控 远 程 的 服务 端 。 客 户 端 软 
件 可 以 在 本 页 下 载 。 0 
区 


ee 保存 到 桌面 


远程 协助 客户 冰 
请 点 击 下 载 链接 手动 下 载 : 名 称 : Kwaviewer.exe 
类 型 : 应 用 程序 ，1. 19 有 


Kvmviewer.exe 发 过 者 : 112152 
保存 @) | 
直 哉 袁 琶 二 交 人 和 | 


远程 协助 日 志 


WW HUAWEI 
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。 单 击 Kvmviewer.exe 下 载 远 程 协助 客户 端 。 如 时 已 经 下 载 ， 则 不 需 此 步 操 作 ， 单 击 “ 提 


交 上 月 志 ” 


登录 远程 终 病 
。 双击 桌面 隐 汪 ”输入 需 远 程 协助 的 终端 的 IP 地 址 及 远程 协助 
密码 ， 单 击 “Connect” 即 可 远程 登陆 到 终端 主机 


XYE Yierer 2.0 


Vv KVM Viewer 


注意 权限 设置 
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。 权限 设置 ，View Only 只 有 查看 权限 ， 设 置 更 多 参数 可 单 击 “Options”。 


颗 安 全 系统 的 运营 官 理 操作 :; 
终 痛 安全 系统 配置 ; 
终端 安全 系统 维护 配置 ; 


常用 运 维 管理 工具 的 使 用 
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。 代理 软件 上 传 与 软件 分 发 的 区 别 ? 
。 进行 策略 模板 配置 时 ， 继 承 父 模板 的 结果 是 什么 ? 
。 Web Agent 客 户 端 是 否 可 以 进行 远程 协助 ? 
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练习 题 


。 判断 题 
1， 对 于 终端 安全 状态 进行 评估 ， 可 以 配置 即时 报表 和 周期 性 报表 。 
。 音 近 题 
1， 访 客 管 理 中 访客 注册 后 ， 审 批 方式 有 哪 几 种 ? 
A. 免 审批 
B. 管 理 员 审 批 
C. 接 待人 审批 
D. 主 管 审批 
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。 习题 与 答案 : 


Thank you 


Www.huawel.com 





HC120320005 
终 冯 安 全 系统 故障 处 
3 
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解 弟 见 的 故障 排 际 思路 
握 故 障 排除 工作 及 使 用 方法 
握 系统 维 阶 段 故 障 定位 
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全 目录 


1.Policy Center 故 障 排 除 思路 
1.1 故障 排出 流程 介绍 
1.2 Policy Center 服 务 器 常见 故障 排除 
1.3 NAC 客 户 痛 第 见 故 障 排 除 

2. 故 障 排除 工具 使 用 方法 

3. Policy center 系 统 典 型 故障 处 理 
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故障 排除 流程 


供电 硬件 故障 ? 是 供电 硬件 故障 处 理 
网 络 连接 故障 ? 网 络 连接 故障 处 理 四 
ee NAC 客 户 端 故障 处 理 


olicy Center 服 邓 Policy Center 服务 器 故障 
器 端 运 行 故 障 ? 处 理 
Policy Center 服 
中 端 运行 


端 运行 故障 ? 


通知 研发 等 待 支援 通知 研发 分 析 
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。 整体 思路 : 先 排查 物理 故障 后 排查 系统 及 应 用 故障。 


全 目录 


1.Policy Center 故 障 排 除 思路 
1.1 故障 排出 流程 介绍 
1.2 Policy Center 服 务 器 常见 故障 排除 
1.3 NAC 客 户 病 常见 故障 排除 

2. 故 障 排除 工具 使 用 方法 

3. Policy center 系 统 典 型 故障 处 理 
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安 才 过程 中 同步 时 间 服 务 怖 失败 


。 问 题 描述 
。 在 安装 安全 管理 器 或 安全 控制 器 过 程 中 ， 单 击 “ 设 置 系统 参数 ”， 在 
“Internet 时 间 ” 页 签 配 置 时 间 服 务 器 的 连接 参数 ， 单 击 “ 立 即 更 新 ”后 
同步 时 间 服 务 器 失败 。 
。 原 因 分 析 
。 由 于 时 间 服务 器 的 客户 端 与 服务 端的 连接 超时 ， 或 者 在 时 间 服 务 器 同步 
过 程 中 w32time 服 务 正 在 启动 ， 导 致 同步 时 间 服 务 器 失败 。 
。 解 决 办 法 
。 该 问题 不 影响 策略 管理 中 心服 务 器 的 安装 。 请 在 策略 管理 中 心服 务 器 安 
装 完成 后 ， 手 工 进 行 时 间 服务 器 的 同步 操作 。 手 工 同步 时 间 腊 务 器 的 操 
作 
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。 手工 同步 时 间 服 务 器 的 操作 如 下 : 
0 选择 “开始 > 设置 > 控制 面板 ”人 \ 双 击 “日 期 和 时 间 
oO 单 击 “Internet 时 间 ”; 
0 选中 “自动 与 Internet 时 间 服 务 器 同步 ”， 并 在 “服务 器 ”中 输入 时 间 服 务 器 的 


域名 或 IP 地 址 ; 
0 单 击 “ 立 即时 新 ”; 
口 单 击 “确定 ” 


。 ”如果 企 手 工 同步 时 间 服 务 器 时 仍然 出 现 该 问题 ， 请 尝试 重复 进行 手工 同步 ， 直 至 同步 
时 间 服 务 器 成 功 。 


Policy Center 服 务 怖 安 闻 过 程 无 法 连接 数据 库 


。 问题 摘 述 
o 在 Policy Center 在 安装 过 程 中 提示 “连接 数据 库 失 败 ”， 导 致 无 法 安装 。 


登陆 数据 库 服务 器 ， 发 现 SqlServer 正 常 。 
x 


© 数据 库 连 接 异常 。 数 据 库 地 址 、 端 口号 或 网 络 出 错 。 


。 原因 分 析 

0 没有 开启 远程 连接 ; 

o MSSQLSERVER 协 议 示 局 用 或 端口 设置 有 误 。 
。 解决 办 法 

0 开局 远程 连接 ， 

o 局 用 MSSQLSERVER 协 议 或 纠正 端口 设置 销 误 。 
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。 开启 SQL2005 远 程 连接 功能 


o 开始 菜单 -> 程序 -> Miciosoff SQL Server 2005-> 配置 工具 - 
>SQL Server ConfiguraciomManager 


DO_ SQL Server2005 网 络 配置 -> MSSQLSEREVER 的 协议 ->TCP/IP, 双 击 打 开 

0 在 “协议 ”选项 卡 把 “已 局 用 ”由 默认 的 “ 否 ” 改 为 “是 

oO 在 “IP 地 扯 \ 选项 卡 把 最 下 面 “IP Al 选项 卡 里 的 TCP 动 态 端 口 改 为 空 ，TCP 
疹 口 改 为 “1433 ”或 者 您 需要 的 端口 号 码 。 

。 局 用 MSSQLSERVER 协 议 或 纠正 端口 设置 错误 。 

吕 \ 在 服务 器 上 打开 SQL Server Configurafion Manager。 单 击 “ 开 始 ”， 依 
次 选择 “程序 "、"Microsoft SQL Server2005"、" 配 置 工具 "， 然 后 单 击 "SQL 
Server 配 置 管 理 器 "; 

D 接着 依次 选择 “SQL Server 2005 网 络 配 置 ”、"MSSQL SERVER 的 协议 "、 在 
右边 的 协议 名 称 中 查看 ， 除 VIA 协 议 外 ， 其 他 协议 是 否 全 部 局 用 ; 

oO Qdmin 查 看 TCP/IP 协 议 的 端口 是 否 正 确 。 右 键 1TCP/IP 协 议 项 ， 选 择 属 性 ，IP 
地 址 项 ， 查 看 端口 是 否 跟 测 试 连接 的 端口 一 致 。 


无 法 连接 数据 库 解决 思路 一 


哗 服务 和 连接 的 外 围 应 用 配置 器 - localhost ge 加 
) SQL Server 2005 Surface Area Configuration 原因 : 服务 器 端 

有 时 > 有 助 于 保护 SQL Server Te 
Re 禁用 未 使 用 的 服务 和 连接 可 减少 外 图 应 用 ， 有 助 于 保护 服务 器 。 有 关 默 认 设 1 处 是 9 状 人 人 

解决 方法 : 开启 远程 


选择 组件 ， 然 后 配置 其 服务 和 演 接 @): 


一 轩 A 生 下 ，SQL Serve s Edition Evaluation Edit 连接 。 
MSSQLSERYER 这 和 a Se Ee 并 和 接 , ts 
ver 


hye Editio: a 和 Workero 


和 hs 


全 妈 限 本 地 连接 () 
! G 本 地 连接 和 远程 连接 @) } 
1 公使 用 TCPMTP QD) 
1__ -个 可 使 用 named pipes 0) 
个 同时 使 用 TCP/IP 和 named pipes (B) 


取消 ”| 应 用 WW | 孝 助 ) | 
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。 根 因 分 析 : 


oO 通过 查看 35QL 服 务 器 端口 发 现 服 务 正 处 于 Listening 状 态 ， 在 本 服务 器 通过 telnet 
I ip1433 发 现 端 口 不 可 达 达 人 但 通过 telnef127.0.0. 1433 兹 口 则 可 这 达 ， 那 么 可 确 
远程 连接 未 局 用 引起 。 


。 解决 方法 : 

oO 依次 选择 《开始 -> “程序 ” -> “Microsoff SQL Server 2005” ->" 配 置 工具 "， 
然后 单 击 SQL Server 外 围 应 用 配置 器 "; 

oO 在 SQCServer 外 围 应 用 配置 器 "页 上 ， 单 击 " 服 务 和 连接 的 外 围 应 用 配置 器 "; 

”在 “服务 和 连接 的 外 围 应 用 配置 器 ”页 上 ， 展 开 “DoatalbaseEngine” (数据 库 引 
擎 )， 单 击 “ 远 程 连 接 ， 选 择 ” 本 地 连接 和 远程 连 毛 “ 复 选 杠 ， 选 择 适 用 于 您 的 环 
境 的 相应 协议 (我 这 里 使 用 TCP/IP)， 然 后 单 击 ” 应 用 “。 (注意 :请 在 接收 到 以 下 消 

县 时 单 击 “确定 ”。 至 开 栏 “服务 ”进行 重新 局 动 数据 库 引 擎 服务 ， 使 连接 设置 
所 做 的 更 改 生效 。 ) ; 

oO 也 可 通过 在 本 地 数据 库 服 务 器 设置 ， 选 择 数 据 库 节点 -> 右键 属性 -> 安全 性 -> 服务 

器 身份 认证 ， 选 择 3QL Server 和 windows 身 份 验 证 模式 。 


无 法 连接 数据 库 解决 思路 二 


ver Confieuration Manager 


文件 区) 操作 必 ) 查看 WW) 帮助 0 


原因 分 析 : 1433 端 口 未 处 于 Listening 状 态 ， 但 
存在 sqlservr.exe 进 程 。 

解决 方法 : 局 用 MSSQLSERVER 协 议 或 纠正 端口 
设置 销 误 。 


IPAl1] 
TCP 动态 哆 口 
TCP 北口 


活动 
指示 所 选 IF 她 由 是 否 处 于 活动 状 春 . 
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。 根 因 分 析 : 


oO 通过 查看 yQL 服 务 器 未 发 现 1433 端 口 处 于 Lisfening 状 在， 通过 “任务 管理 器 ” 查 
找 Sqlseryr.exe 进 程 所 对 应 RD;y 然后 在 本 服务 器 通过 netstat - ano 将 能 找到 PID 
及 对 应 的 服务 端口 。 

。 解决 方法 : 

D 在 服务 器 上 打开 SQL Server Configurafion Manager。 单 击 “ 开 始 ” ， 依 次 选 
择 “ 程 序 人 "Microsoft SQL Server2005"、" 配 置 工具 "， 然 后 单 击 "SQL Server 配 
置 管理 器 ; 

6 接着 依次 选择 “SQL Server 2005 网 络 配置 ”、'"MSSQL SERVER 的 协议 "、 在 右边 
的 协议 名 称 中 查看 ， 除 VIA 协议 外 ， 其 他 协议 是 否 全 部 局 用 


o Qdmin 查 看 TCP/IP 协 议 的 端口 是 否 正 确 。 右 键 TCP/IP 协 议 项 ， 选 择 属性 ，IP 地 址 
项 ， 查 看 端口 是 否 跟 疯 试 连接 的 端口 一 致 。 


远程 加 固 服务 怖 导 制 安全 控制 锅 出 现 故 障 


。 问题 描述 
o 使 用 服务 器 加 固 工具 SetWin2003 加 固 MicrosoftWindowsServer2003 操 作 系 统 后 ， 
发 现 安全 控制 器 失效 ， 无 法 处 理 终端 用 户 的 身份 认证 请 求 。 
。 原 六 人 
吕 远程 桌面 连接 至 MicrosoftWindowsServer2003 操作 系统 ， 使 用 加 固 工 具 
SetWin2003 加 固 MicrosoftWindowsserver2003 操 作 系 统 ， 远 程 连 接 会 话 权 限 与 硬 
件 服务 器 本 机 会 话 不 一 nn 


。 解决 办 法 
o 外 载 SetWin2003 恢 复原 先 设 置 ， 重 启 操作 系统 后 通过 “administratroe 帐号 以 本 
地 方式 登录 操作 系统 安装 与 操作 SetWin2003 进 行 系统 加 固 。 
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以 “administrgtor” 账 号 登录 Microsoft Windows Server2003; 
在 SetWin2003 的 主 窗口 单 击 退出”， 停 止 SetWind2003; 
选择 “开始 > 程序 >SefWin2003>Uninstall” 进行 卸载 SetWin2003 恢 复原 设置 


选择 “系统 > 恢复 、， 开 始 恢 复 以 前 的 设置 。 出 现 提示 “手工 进行 恢复 ”操作 ， 
表示 该 系统 异 块 必须 手工 修改 才 会 恢复 执行 安全 加 固 之 前 的 参数 值 ; 


重新 息 动 操作 系统 之 后 ， 重 复 执行 步骤 一 和 二 继续 完成 印 载 SefWin2003; 


重新 启动 操作 系统 之 后 ， 以 “qadministrgtor” 账 号 以 本 地 方式 而 非 远 程 朱 面 方 
式 登 录 MicrosoftindowsServer2003， 重 新 安装 SetWin2003 并 进行 操作 系统 加 
国 。 


安全 管理 器 或 安全 控制 严 趣 载 珊 面 无 法 显示 


。 问题 摘 述 
o 管理 员 在 相应 目录 下 执行 卸载 安全 管理 器 或 安全 控制 器 ， 无 卸载 界面 ， 即 在 “ 开 
始 ” 菜 单 选 择 “ 开 始 > 程序 > Huawei > Policy Center > Uninstall or Delete 
Components”。 但 无 法 显示 卸载 对 话 框 。 
。 原因 分 析 
o 未 修改 数据 执行 保护 导致 无 法 访问 安全 管理 器 或 安全 控制 器 的 登录 页 面 ， 也 无 法 
印 载 安全 管理 器 或 安全 控制 器 
。 解决 办 法 
o 修改 数据 执行 保护 ， 再 重新 启动 MicrosoftWindowsServer2003 操 作 系 统 ， 最 后 再 
执行 卸载 操作 。 
庆生 的 大 必 ， 后生 入 祭 区 


Ce 只 为 关键 Windows 程序 和 服务 启用 数据 执行 保护 (I) 
个 除 所 选 之 外 ， 为 所 有 程序 和 服务 启用 数据 执行 保护 QD : 
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管理 员 执 行 如 下 操作 无 法 到 载 安全 管理 器 或 安全 控制 器 
oO 使 用 “aQdministrator” 账 号 登录 MicrosoftfWindowsServer2003 操 作 系 统 ; 


oO 在 “开始 ”菜单 选择 “开始 之 程序 > Huawei > Policy Center > Uninstall or 
Delete Componentses。 但 无 法 显示 卸载 对 话 框 ; 


oO 通过 IE 浏览 器 访问 安全 管理 器 或 安全 控制 器 ， 但 无 法 显示 安全 管理 器 或 安全 控制 
器 的 登录 页 面 


修改 数据 执行 保护 操作 步骤 
oO 使 用 “qdministrgtor” 账 号 登录 MicrosoftfWindowsServer2003 操 作 系 统 ; 
选择 “开始 > 设置 > 控制 面板 ”; 
0 双击 “系统 ”， 选 择 “ 高 级 ”页 签 ; 
0 在 “性 能 ”区 域 框 单 击 “ 设 置 ”; 
0 选择 “数据 执行 保护 ”页 签 ; 
oO 选中 “只 为 关键 Windows 程 序 和 服务 启用 数据 执行 保护 ”; 
D 单 击 “确定 ”返回 “系统 属性 ”对 话 框 。 界 面 提示 需要 重新 局 动 操 作 系 统 ; 
0 单 击 “ 确 定 ” 退 出 “系统 属性 ”对话 框 ; 
oO 重启 MicrosoftWindowsServer2003 操 作 系 统 ， 使 修改 数据 执行 保护 生效 。 


Policy Center 服 务 怖 无 法 正 钊 局 动 


。 问题 摘 述 
5 服务 器 局 动 不 成 功 ， 一 分 钟 左右 定期 局 动 一 次 。 


。 原因 分 析 
o Policy Center 服 务 器 所 需 端 口 被 其 它 程序 占用 ， 通 
anolfind“port” 发 现 Policy Center 服 务 器 所 使 用 端口 被 哪些 程序 进程 所 占用 。 


过 netstat— 


。 解决 办 法 
o 通过 “任务 管理 器 ”终止 被 占用 端口 的 程序 进程 。 
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。 安全 管理 器 和 安全 控制 器 端口 列表 
oO 1812 802.1x 认 证 端口 ; 
oO 1813 802.1x 认 证 端口 ; 
D 3288 SACG 通 信 端 口 ; 
0 8080 安全 管理 器 与 安全 控制 器 的 通信 端口 ; 
o 8443 HTTRS 端 口 ; 
0 8005 关闭 服务 端口 ; 
N7889 安全 控制 器 与 安全 代理 通信 端口 |; 
0 21 FTP 监 听 端 口 。 


各 户 响 切换 安全 控制 锅 引 起 功能 缺失 


。 问题 摘 述 
o_NAC 访 问安 全 控制 器 A 时 ，NAC 客 户 端 功能 使 用 正常 ， 但 切换 至 安全 控制 
器 B 时 ， 出 现 功能 项 缺失 问题 。 
。 原因 分 析 
o 出 现 功能 项 缺失 问题 可 能 是 由 于 安装 单独 的 安全 控制 器 选择 安全 
管理 器 的 IP 地 址 填写 不 正确 导致 。 ome 服务 i 
C:\ProgramFiles\Policy Center\tomcat\secospace\remote.properties 文 件 查 -人 
看 安全 管理 器 的 IP 地 址 的 正确 性 。 
。 解 决 办 法 
o 在 remote.properties 文 件 内 修改 安全 管理 器 的 IP 地 址 。 
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。 J 开 C:\ProgramrFiles\Policy Center\tomcat\secospqce\remote.properties 后 


， 可 以 通过 记事 本 程序 打开 remote.properties 文 件 ， 在 文件 内 修改 
Seocspace.remote.sMm.ip 


各 户 响 切换 安全 控制 希 引 起 荣 略 模板 异 单 


。 问题 摘 述 
o 客户 端 Agent 访 问安 全 控制 器 A 时 策略 模板 下 发 正常 ， 但 切换 至 安全 控制 
器 BH 时 ， 出 现 策略 模板 未 下 发 或 下 发 不 正常 。 
。 原因 分 析 
o 此 问题 主要 是 由 于 安全 控制 器 B 与 安全 管理 器 或 数据 库 连 接 存在 问题 。 
。 解决 办 法 
o 确保 安全 控制 器 B 与 安全 管理 器 或 数据 库 的 连通 性 ， 若 问题 还 无 法 定位 可 A 
重新 启动 安全 控制 器 B。 
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。 定位 安全 控制 器 B 与 安全 管理 器 之 间 的 连通 性 > 可 通过 在 安全 控制 器 B 上 ping 管 理 器 的 
连通 性 。 定 位 安全 控制 器 B 与 数据 库 边 间 的 连通 性 ， 可 通过 在 安全 控制 器 B 上 telnet 
Database-IP 1433 确 认 连 通 性 。 


软件 分 发 不 能 正 弟 向 各 户 峭 下 载 文 件 
。 问题 描述 
o 客户 端 Agent 不 能 正常 从 软件 分 发 功能 处 下 载 文件 。 
。 原因 分 析 
o 此 问题 主要 是 由 于 FTP 服 务 器 的 安装 或 配置 存在 问题 。 
。 解决 办 法 
o 按 要 求 完成 FTP 服 务 器 配置 ; 
o 解决 客户 端 PC 与 FTP 服 务 器 的 IP 可 达 性 问题 ; 
o 解决 客户 端 PC 与 FTP 服 务 器 的 防火 墙 配置 问题 。 
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。 FIP 服务 器 安装 或 配置 问题 定位 : 
D 通过 在 客户 端 PC 上 telnef FTP\IR, 21 测试 连通 性 ， 然 后 再 到 FTP 服 务 器 上 通过 
netstgt - ano |find “212” 确认 FTP 服 务 器 是 否 户 动 :; 
oO 在 客户 端 PC 上 使 用 浏览 器 访问 FTP (如 FTP://ffp-IP) ， 若 不 能 访问 则 是 FTP 服 务 
器 配置 存在 问题 车 可 访问 但 无 法 显示 文件 页 面 ， 基 本 确定 是 防火 墙 把 数据 通道 
给 阻 断 (FTP 是 属于 多 通道 协议 ) ， 请 调整 客户 端 PC 或 中 间 防 火 墙 配置 。 


全 目录 


1.Policy Center 故 障 排 除 思路 
1.1 故障 排出 流程 介绍 
1.2 Policy Center 服 务 器 常见 故障 排除 
1.3 NAC 客 户 端 常见 故障 排除 

2. 故 障 排除 工具 使 用 方法 

3. Policy center 系 统 典 型 故障 处 理 
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Vista 未 安装 补丁 导致 NAC 客 户 端 安装 失败 


。 问 题 描 述 
o 在 未 安装 SP 补丁 的 Microsoft Windows Vista 安 装 NAC 客 户 端 ， 在 安 
流 过 程 中 被 中 断 ， 安 洲 NAC 客 尸 端 失败 。 
。 原 因 分 析 
o 该 问题 为 Microsoft Windows Vista 操 作 系 统 本 身 的 问题 ， 由 于 未 
安装 SP 补丁 引起 NAC 客 户 端 安装 程序 被 阻塞 ， 导 致 NAC 客 户 端 安 
装 失败 。 
。 解决 办 法 
o 先 安装 Microsoft Windows Vista SP1 补 丁 ， 再 安装 NAC 诺 六 端 即 可 
解决 问题 。 
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。 先 从 微软 官方 网 站 获取 Microsoff WindowsANVista SP1 补 丁 ， 然 后 再 安 痛 补丁 文件 ， 最 
后 安 普 NAC 冤 户 端 。 


缺少 与 权限 导致 NAC 客 户 


。 问题 摘 述 
0 在 一 全 终端 主机 运行 NAC 客 户 端 安装 
NAC 客 户 端的 快捷 方式 。 


CDocuaents amnd Settings\7y7\ 果 面 \Agent-exe 


。 原因 分 析 
o 在 运行 NAC 客 户 端 时 ， 安 装 程序 会 先 把 程序 释放 到 预 设 的 目录 ， 如 果 安 装 程序 对 
该 目录 没有 写 权限 ， 则 会 导致 安装 会 失败 。 
。 解决 办 法 
o 安装 程序 预 留 接口 ， 通 过 增加 注册 表 键 值 ， 以 便 手工 将 释放 目录 调 末 的 伍 有 写 权 
限 的 操作 系统 临时 目录 。 最 后 重新 运行 安装 程序 即 可 解决 问题 。 





Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. 7 HUAWEI 


。 解决 步骤 


D 在 Microsoft Windows 操 作 系 统 选择 “开始 > 运行 ”， 输 入 “regedit” 后 按 
“Enter”; 


oO 在 “HKEY_LOCAL MAGHINENS3OFTIWARE ”添加 类 型 为 “字符 串 ”， 名 称 为 
“CHANGCE _ TEMP” ， 取 值 为 “frue” 的 键 ; 


5 重新 运行 NAC 客 娘 端 安 交 程序 。 





权限 不 足 导 致 NAC 宪 户 靖 只 能 安 表 在 C 盘 


。 问题 摘 述 TI 
件 |3# 安全 
o。 在 Microsoft Windows 操 作 系 统 上 尝试 安 于! 开 1 [#3 | 配额 | 
装 NAC 客 户 端 ， 发 现 NAC 客 户 端 只 能 安装 (Adninistrator OWAWEI-F8902D31\Adninistrator) 
. 给 dMministrato trators 


trators (HUAMWEI-F8902D031\Admi 


在 C 盘 ， 但 无 法 安装 在 D 盘 。 全 qz om 
从 Everyone 
。 原因 分 析 
o _ Administrators 组 和 System 账号 缺少 D 盘 的 
访问 权限 。 
n\ 读 取 和 运行 
” 解决 办 法 列 出 文件 夹 目录 


读 取 
o 在 D 盘 为 Administrators 用 户 组 和 System 账 写 入 


BR 二 DiAnm+mn 有 月 


号 的 授予 完全 控制 权限 即 可 。 ee 


] 图 图 图 图 轿 图 | 尝 
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解决 步骤 

oO 使 用 “administrator” 账 号 登 IO 打开 资源 管理 器 。 右 键 单 
击 D 盘 ， 选 择 “ 共 享 与 安全 六 3 选择 “安全 ”页 签 ; 

5 单 击 “ 高 级 ”， 选 择 M 所 有 者 ”， 选 中 “Administrator” 和 “替换 子 容器 及 对 象 
的 所 有 者 ” 

0 右键 单 击 口 盘 ， 选 择 “ 共 吾 与 安全 ”和 “安全 ”页 签 。 单 击 “ 添 加 ” ， 输 入 
Adminisfrafers， 然 后 选中 “完全 控制 ”， 单 击 “ 应 用 ” 

oO 单 击 “添加 ”， 输 入 sysfem， 单 击 “ 确 定 ”， 然 后 选中 “完全 控制 ” ， 单 击 “ 应 
用 …; 

D 重新 安装 NAC 客 中 闹 


在 安 才 过 程 中 挥 电导 致 终 痛 主机 局 动 缓慢 


在 一 人 台 安 装 Microsoft Windows Vista 操 作 系 统 上 安装 NAC 客 户 端 时 ， 突 然 断 电 或 者 
被 主动 防御 类 软件 (例如 安全 卫士 360) 拦截 导致 安装 过 程 异常 终止 。 在 重新 启 
动 Microsoft Windows Vista 时 发 现 启 动 过 程 很 缓慢 ， 大 约 花 费 10min 才 完成 启动 。 
。 原因 分 析 
oo NAC 客 户 端 安装 过 程 中 会 安装 NDIS 网 络 驱动 。 而 Microsoft Windows Vista 在 NDIS 驱 
动 安装 功能 上 存在 缺陷 ， 如 果 该 驱动 安装 失败 可 能 导致 操作 系统 局 动 缓慢 的 问题 
。 解决 办 法 
o 重新 启动 计算 机 并 按 “F8 " 选 安全 模式 进入 操作 系统 ， 运 NAC 客 户 端 


Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Pade 20 HUAWEI 





。 运行 NAC 客 尸 端 的 安 洲 程序 ，NAC 客 尸 闫 安 淡 程序 会 月 动 清 理 安装 残留 信息 。 残 留 信 
居 清 理 完成 后 会 提示 重新 启动 计算 机 。 


。 重新 启动 计算 机 ， 并 以 正常 模式 登录 ; 最 后 安装 NAC 客 户 端 即 可 解决 问题 。 


NAC 各 户 站 提 示 “ 无 法 与 服务 器 建立 连接 


。 问题 摘 述 
o NAC 客 户 端 认证 提示 “认证 失败 : 无 法 与 mm 
服务 器 建立 连接 ， 请 运行 故障 诊断 工具 进 认证 失败 : 无 法 与 服务 器 建立 连接 ,请 运行 故障 诊断 工具 
行 网 络 连通 性 检查 ” 进行 网 络 连通 性 检查 (错误 号 :204) 
。 原因 分 析 
o 服务 器 地 址 设置 错误 。 
o 终端 主机 与 服务 器 之 间 的 网 络 不 可 达 。 
。 解决 办 法 
o 检查 客户 端 设置 服务 器 地 址 的 正确 性 ; 
o 运行 NAC 客 户 端 故障 诊断 工具 ， 检 查 终 端 
主机 与 服务 器 的 网 络 连通 性 。 根 据 诊 断 结 
果 与 修复 建议 ， 进 行 网 络 修复 。 


确定 


斯 本 有 过 二 站 格 环 潜 和 7 Agerk 进行 检查 ， 开导 香 项 请 控 昨 复 建议 修复 ， 修 复 后 低 
王 )》 的 同时 没有 解决 ， 当代 生 琳 条- 识 守 淋 醚 妈 于 车 息 并 提交 结 管理 负 


相 


2 eeeeeeeooeeeeg 
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检查 客户 端 所 ii 受 置 的 服务 器 地 址 的 正确 性 必 在 NAC 客 户 端 界面 的 右上 方 单 击 “ 认 证 ” 
， 在 认证 窗口 的 左下 角 单 击 “ 高 级 设置 ,* 在 “服务 器 ” 栏 检查 Policy Center 服 务 器 
的 IP 地 址 是 否 正 确 (可 能 ER 。 或 可 以 通过 
c:\netstat - ono 检查 TCP 协 议 状 态 是 17889 的 IP 地 址 。 


运行 NAC 客 尸 端 故障 诊断 工具 : “服务 器 主要 并 口 ”和 “服务 器 ICMP 疯 试 ” 将 会 同时 
提示 失败 。 服 务 器 主要 端口” 显示 “与 服务 器 端口 建 Y1CP 和 连接 失败 ”， 而 “服务 器 
ICMP 测 试 ” 将 显示 “ping 服 务 器 iP 地 址 失败 ”。 


针对 “服务 器 I(CMP 疯 试 ” 将 给 出 修复 建议 如 下 : 
o~ 请 检查 服务 器 IP 地 址 是 否 配 置 正确 ; 
D“ 请 检查 终端 与 服务 器 路 由 是 否 可 达 。 

和 针对 “服务 器 主要 端口 ”将 给 出 修复 建议 如 下 : 
D ”请 检查 服务 器 IP 地 址 是 否 配 置 正确 ; 
oO 请 检查 终端 与 服务 器 路 由 /端口 是 否 可 达 ， 


oO 请 联系 管理 员 检 查 Policy Center 服 务 器 是 否 正 党 运行 


NAC 客 户 端 提示 “网 络 访问 受 限 ” 


。 问题 描述 
o_NAC 客 户 端 认 证 提示 “网 络 访问 受 限 ， 
请 联系 管理 员 处 理 ”。 
。 原因 分 析 yO— 
o 由 于 Policy Center 服 务 器 管理 页 面 上 i 
未 将 出 现 此 问题 的 终端 i 地址， 加 入 5 和 吕 Pit 这 
， Ra 配置 页 面 的 客户 端 地 址 池 中 。 ras 
。 解决 办 有 多 和 时 
o 在 Policy bl 上 将 Ee 
出 现 问题 终端 的 IP 地 址 ( 段 ) 加 入 到 
SAcG 配 置 的 地 址 池 中 ， 点 击 “ 同 步 
硬件 SACG”。 
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通过 在 Policy Center 产 品 文档 搜索 1501 定 位 问题 原因 为 ， 终 端 IP 地 址 未 加 入 到 SACG 
配置 页 面 的 客户 冯 所 直入 中 。 通过 查看 硬件 yACC 配 置 界 面 未 显示 终端 IP 地 址 段 信息 配 
置 、 或 通过 信息 搜集 工具 查询 Agent.log 文 件 提示 “2011-12-0916:45:11 认 证 管理 
[02011]: 没 有 找到 SACG 人 信息, 该 终端 地 址 不 在 SACG 地 址 池 中 ”， 或 通过 dis right- 
manager online-users 未 发 现任 何 此 认证 终端 信息 。 通 过 在 Policy Center 服 务 器 ( 
SM) 管理 页 面 上 将 出 现 问 题 终 端的 IP 地 址 〈 段 ) 加 入 到 >ACC 配 置 的 地 址 池 中 ， 上 点击 
“同步 硬件 》ACC 、, 终端 重新 认证 即 成 功 。 


WebAgent 认 证 再 面 无 法 显示 


。 问题 描述 
o 使 用 WebAgent 进 行 客户 端 认 证 ， 发 现 认 证 界面 一 直 无 法 显示 。 
。 原因 分 析 
o 由 于 终端 上 浏览 器 设置 安全 级 别 过 高 ， 导 致 webagent 的 ActiveX 插 件 无 法 安装 成 功 ， 
无 法 进行 认证 。 


。 解决 办 法 
o 至 上 浏览 器 安全 设置 将 “对 标记 为 可 安全 执行 脚本 的 ActiveX 控 件 执行 脚本 ”、 
“下 载 未 签名 的 ActiveX 控 件 ”和 “运行 ActiveX 控 件 和 插件 ”设置 为 “启用 ”。 


主要 

】 LA 作家 光 sy EW 设 时 具 --->leeroet 和 进项 ---> 安 全 --->jnsernet---> 自 定义 级 男 
. pv SK 和 放下 设置 为 启用 

可 要 和 各 的 pe 没 轩 


2 GE 行 ArtweX 控件 和 插件 识 攻关 用 
如 肝 本 机 已 经 安装 了 TSM Agrnl 的 客户 病 . 则 ActiweX 挫 件 兰 无 福 运行 
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解决 步骤 : 
oO 在 |E 浏 览 器 顶端 的 工具 栏 中 选择 \“ 工 具 >Internet 选 项 ”。 
D 单 击 “ 安 全 ”页 签 ， 选 择 ,Ainternet”， 单 击 “ 自 定义 级 别 ”。 


0 将 “对 标记 为 可 安全 执行 脚本 的 ActiveX 探 件 执 行 脚本 ”、 “下 载 示 签名 的 
ActiveX 控 件 和 \“ 运 行 ActiveX 控 件 和 插件 ”设置 为 “局 用 ”， 单 击 “ 确 定 ”。 


0 界面 提示 “是否 要 更 改 该 区 域 框 的 安全 设置 ”。 
口 单 击 “是 
口 单 击 “确定 ” 网 


安 狼 NAC 宫 尸 师 后 无 法 访问 网 页 


。 问题 描述 
0 安 儿 NAC 客 尸 端 后 无 法 对 网 页 进行 访 
问 浏览 。 
。 原因 分 析 


仿 HAC Agent 定 制 向 导 


o 由 于 NAC 客 户 端 具有 软件 主机 防火 墙 、 计 他 病因 并 制 所 ,点击 [一 步 0] 钨 


朗 装 主机 防火 天 家 包括， 小 控 IF 策 申 ( 拦 才 指 定 站 或 


模块 ， 存 在 与 其 他 具有 防火 墙 功能 i 
软件 冲突 的 可 能 ， 导 致 无 法 访问 网 eS 


豫 动 ， 小 及 功能 包括 :USB 注册 管理 、 些 控 USB 第 


页 问 题 。 策略 、 文 件 保护 功能 
。 解决 办 法 ee 
o 对 已 经 安装 了 软件 主机 防火 墙 客户 
端 ， 可 对 其 分 发 不 包含 主机 防火 墙 和 
功能 的 策略 (如 监控 网 址 、 监 控 网 
络 应 用 程序 、 非 法 外 联 等 ) 。 
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解决 方法 : Policy Center 提 供 客 尸 闹 主 机 防火 墙 动态 加 载 功能 ， 可 以 将 对 应 的 客户 新 
分 配 不 包含 主机 防火 墙 功能 的 策略 《如 监控 网 址 、 监 控 网 络 应 用 程序 、 非 法 外 联 等 ) ; 
右 对 应 客户 端 一 定 需要 使 用 相关 策略 ， 可 以 建议 将 冲突 软件 却 载 或 者 天 闭 其 防火 墙 模块 


NAC 各 户 站 定期 重新 认证 


。 问题 描述 
o_ NAC 客户 端 每 隔 几 分 钟 就 进行 重新 认证 。 
。 原 因 分 析 
o 由 于 NAC 客 户 端 后 台 服 务 程 序 3ecodaemon.exe 被 第 三 方 主动 防御 
软件 终止 ， 
o 而 由 NAC 客 户 端 后 全 保护 程序 将 此 exe 进 程 重 新 启动， 如 此 循环 ， 
导致 重复 认证 和 上 线 。 
。 解决 办 法 
o 在 第 三 方 防御 软件 上 把 NAC 客 户 端 加 入 至 可 信 列 表 中 < 
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。 解决 方法 : 安装 NAC 客 户 端 时 ， 将 第 三 方 主动 防御 软件 的 提示 (如 360 安 全 卫士 提示 的 
一 些 注 册 表 写 入 ， 服 务 安装 等 )\ 八 点 击 “ 人 允许 ”或 者 将 NAC 客 户 端 主 进程 
Secodaemon.exe 加 入 到 信任 程序 列表 中 即 可 。 


多 目录 


1.Policy Center 故 障 排除 思路 
2. 故 障 排除 工具 使 用 方法 
3. Policy center 系 统 典 型 故障 处 理 
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获取 NAC 客 户 端 j 


故障 诊断 将 对 终端 网 络 环境 和 TSM Agent 进行 检查 ， 对 异常 项 请 按 修 复 建议 修复 ,修复 后 您 
ED 的 问题 还 没有 解决 ， 请 切换 到 "信息 采集 "页 签 采 集 必要 的 信息 并 提交 给 管理 员 ? 


诊断 项 结果 诊断 结果 描述 
网 卡 

网 络 协 议 栈 

网 关 

AD 域 连通 性 检查 
服务 器 主要 端口 
服务 器 ICMP 测 试 
兼容 性 检测 

T5M Agent 安装 完整 性 
主要 服务 

主要 ;进程 

关键 配置 文件 

T5M Agent 文件 完整 性 


。 选择 “开始 > 程序 > 
AnyOffice > 安全 接 入 
(NAC) > 安全 接 入 
(NAG 。 ; 

。 在 NAC 客 户 端 界面 的 五 
侧 导 航 树 选择 “系统 帮 
助 > 系 统 帮 助 ”， 单 击 上 

“运行 故障 诊断 工具 > 


马 
口 
口 
口 
四 


Kerberos 配 置 检查 


< 


NW HuAwel 





Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Aspage 27 


全 


Eee 使 用 NAC 客 户 奖 诊 断 工 具 对 NAC 客 户 端 的 常见 诊断 选项 进 
令 测 ， 方 便 终 端 用 户 进行 初步 故障 定位 * NAC 客 户 端 诊断 工具 是 NAC 客 户 端 的 一 个 
ee 在 安装 NAC 客 户 端 时 会 同时 安装 NAC 客 户 端 诊断 工具 。 


诊断 将 对 终端 网 络 环境 和 TSM Agent 进行 检查 ， 对 异常 项 请 按 修 复 建 议 修复 ， 修 复 后 您 
了 的 辣 风 水 没有 解 红 ， 请 切换 到 站 信息 采集 页 签 采集 必要 的 信息 并 提交 给 管理 员 ? 





/ AD 域 连通 性 检查 和 
VY 服务 器 ICMP 测 试 没有 获取 到 服务 器 的 pp 地 址 。 
兼容 性 检测 常 。 

T5M Agent 安装 完整 性 
主要 服务 

主要 进程 

关键 配置 文件 

T5M Agent 文件 完整 性 
Kerberos 配 置 检查 


-le 


关键 配置 文件 解析 失败 。 
正常 。 
正常 。 


[KK KK KK 
SOOOOGOOO 


-全 行 完 毕 ? 存在 个 可 修复 的 异常 ,请 通过 诊断 报 肖 的 修复 、 
建 复 异常 。 
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网 卡 诊断 : 检测 网 卡 物理 链 路 状态 ， 即 网 线 是 否 松 脱 ， 网 卡 是 否 成 功 获 取 IP 地 址 、 网 卡 
网 天 诊断 : 检测 终端 主机 与 网 天 在 三 层 物理 链 路 的 连通 性 ; 

服务 器 主要 端口 诊断 : 检 测 服务 器 的 TCP 亲 口 1788? 是 否 可 达 ; 

服务 器 {CMP 疯 试 诊断 : ` 检 测 终 端 主 机 与 服务 器 之 间 链 路 连通 性 。 





NAC 各 户 站 诊断 工具 -上 自动 修复 


诊断， 信息 采集 


3、 故障 诊断 将 对 终端 网 络 环境 和 TSM Agent 进行 检查 ， 对 异常 项 请 控 修 复 建 议 修复 ,修复 后 您 
\LA 的 问题 还 没有 解决 ， 请 切 执 到 "信息 采集 ' 页 签 采集 必要 的 信息 并 提交 给 管理 员 ? 


诊断 项 
网 卡 
网 络 协 议 栈 
网 关 


给 





AD 域 连通 性 检查 
服务 器 主要 端口 
服务 器 ICMP 测 试 
兼容 性 检测 

T5M Agent 安装 完整 性 


SO--@@0O0 


oO0 
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自动 修复 是 指 当 NAC 客 户 端 出 现 故障 时 ,，NAC 客 户 端 诊断 工具 通过 修复 网 络 协议 栈 异 
常 、 修 复 启动 进程 和 后 台 服 务 、 修 复 关键 配置 文件 来 尝试 修复 故障 。 


0 网 络 协议 栈 目 动 修复 : 如 果 发 现 网 络 协议 栈 出 现 异常 ，NAC 客户 端 诊 断 工具 将 会 


目 动 重新 初始 化 网 络 协 议 栈 ， 


o 后 人 台 服 务 自动 修 香 `\ 妨 果 发 现 NAC 客 户 端的 后 全 服务 处 于 停止 状态 ，NAC 客 户 


端 诊断 工具 将 会 目 动 启动 下 面 的 后 全 服务 ，SecoDaemon 服 务 、SecoVNC 服 务 
、USBFILT 服 务 ; 

进程 自动 修复 : 如 果 发 现 NAC 客 户 端 的 进程 处 于 停止 状态 ，NAC 客 户 端 诊断 工 
具 将 会 目 动 启动“WinCUl” 进 程 ; 

关键 配置 文件 自动 修复 : 当 发 现 关 键 配置 文件 被 损坏 ，NAC 客 亡 端 诊断 工具 把 配 
置 文件 恢复 到 安装 时 的 状态 。 


NAC 各 尸 闹 信息 采集 工具 


鱼 ) 信息 采集 是 收集 本 机 的 相关 信息 便于 相关 技术 人 员 定 位 软件 存在 的 问题 。 单 击 "查看 详情 ” 
a 许 接 可 以 查看 采集 的 详细 资料 , 单 击 打开 保存 目录 " 许 接 可 以 打开 信息 保存 的 文件 夹 。 


采集 项 

端口 与 路 由 

关键 注册 表 项 

系统 日 志 与 硬件 信息 
DUMP 文 件 

网 络 协 议 栈 信息 

进程 ， 服 务 与 启动 项 
共享 信息 与 系统 帐户 信息 
软件 与 补丁 

AD 票据 

T5M Agent 安装 文件 信息 与 日 志 


MY 
MY 
MY 
YY 
MY 
YY 
MY 
YY 


正在 采集 信息 ， 请 稍 侯 .…,， 


必 


AIN 
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状态 检测 :系统 检测 报告 -- 采集 时 
间 : 2013-9-26 17:02:59 
计算 机 名 ， CDA120518636RQ 
当前 账号 ， zKF67487 
用 户 域 : 
代理 安装 路 径 ， CiProgram Files Huawei TSM Agent 
代理 安装 日 期 ， 
代理 版 本 ， V100R003C00 
当前 账号 类 型 ， 普通 账号 
普通 账号 ， 
是 否 启 用 802.1X 否 
日 志 目 

居 库 目 


china huaweli com 


2013-09-26 
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当 故 障 诊断 和 目 动 修复 均 无 法 解决 问题 时 ， 可 通过 NAC 客户 端 信息 采集 工具 搜集 NAC 
给 研发 专家 进行 故障 定位 。 





客户 端 与 故障 相关 的 信息 提交 
操作 步骤 : 


0 在 “诊断 工具 ”界面 选择 a“ 信 息 采 集 ” 


集结 果 的 存放 路 径 ; 


a 单 击 “ 开 始 ”， 选 摊 采 


页 签 


了 


D 选择 采集 结果 的 存放 位 置 后 ， 开 始 采集 故障 信息 ; 


0 单 击 \\ 人 查看 详情 ”， 查 看 详细 的 信息 采集 结果 或 把 “log.zip” 


助 定位 故障 。 


~ 





入 


> 


研发 专 


Ct 
全 加 
入 | 


计 


红 


定位 采集 信息 文件 


。 将 采集 的 log 压 缩 文 件 解压 ， 找 到 “log>CollectLog>log” 路 径 下 的 
“TSMAgent.log” 文 件 。 


Ns Log。. zip WinRAR 


File Commands Tools Favorites Options Help 


ss 出、 


Extract To Test View Delete Find Pixzard Info VirusScan Comment 


国 辐 1oz rip Le ~ ZIP archive, RAS size 12,750,524 bytes 


属 one A :Size ed | Type Modified CRC32 
资料 歌 
| 自 log 文本 文档 2013-9-26 1 F868B0145 
| 大 | 目 arpdisturb 1og 文本 文档 2013-9-26 1 
日 Enginelog, txt > 文本 文档 2013-9-26 1 
目 Install_2013-09-26 16-11-39. 1og 文本 文档 2013-9-26 1 
月 policy_ log txt 文本 文档 2013-9-26 1 
日 RCServer, log 文本 文档 2013-9-26 1.. 
自 SecoAgent. log, txt " 文本 文档 2013-9-26 1 
问 ServiceKernel, txt 文本 文档 2013-9-26 1 


由 市 nGUIT. log txt - 1, 355 ”文本 文档 2013-9-26 1 AP6385BF 
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对 于 通过 远程 信息 采集 工具 或 终端 故障 诊断 开具 采集 上 来 的 信息 ， 我 们 可 以 通过 查看 
LOG 日 志 忘 进 进行 初步 的 问题 定位 。 


定位 NAC 各 户 站 采集 信息 销 误 码 


e。 打开 “TSMAgenti.log” 文 件 ， 从 log 日 志 中 可 看 到 agent 认 证 、 安 全 策略 
下 发 等 全 部 过 程 ， 如 果 T>MAgenti 出 现 故障 将 产生 日 志 错 误 码 。 


四 TSEAzent 记事 本 
文件 下) 编 缉 区 ) 格式 @) 查看 G) 帮助 人 0 
信息 2913-99-26 16:29:29 认证 管理 [2916]: 发 起 注销 ..- 


信息 2913-99 寄 作 水 和 
信息 28613-89 本 ，Windows XP Service Pack sp3 
信息 2813-89-26 16: :39:52 3 : U198R803C986(3.8.9.9.14) 


信息 es 26 区 30:54 禄 路 官 惠 [97009]: 人 策略 违规 信息 将 于 2813-89-26 16:32:24 了 开始 上 报 ， 上 报 周 
二 16:31:53 认证 管理 [91969] : 开始 与 服务 器 创建 Tcp 和 连接，Sc 归 属地 ，192.168.89.1，SC 服 务 器 
: 192.168.88.1 
2813-89-26 16:31:56 认证 管理 [61961] : -ey sc 归属 地 ，192.168.88.1，SC 服 务 疾 
.1s 0 88.1， 客 户 ; : 192.168. : 客 2 
99-26 16:32:52 认 理 [91964] : HH 
息 89-26 16: 55 ee: de 2613-89-26 18:32:55 开 始 上 报 ， 上 报 周 
期 , 每 126 分 钟 上 报 一 
信息 89-26 17: 46 以 oooor]: 和 hE PN 
09-26 17:10:46 理 [82661] : 请 3 
号 89-26 17:18:46 证 el 条 类 时 入 会 电 半 村 Top# 控 ， sc 归属 地 ，192.168.89.1，SC 服 务 器 
8. 
起 区 Wy- 2 :19:48 认证 管理 [91692] : 与 服务 器 创建 TcP 连 接 失败 ，sC 归 属地 ，192.168.88.1，SC 服 务 闫 
; 192.168.89.1 
外 2913-99-26 17:10:48 BA 党 理 [ 91993] : 下 一 次 重新 创建 TCP 并 汪 时 间 为 ，2913-99-26 17:19:58 
证 车 二 二 TCD BT TA sc 归属 地 ，192.168.89.1，sc 服 务 器 
地 址 ， 192. 168 . 80. i 


告警 2913-99-26 17:11:89 认证 管理 [91982]: 与 服务 器 创建 TcP 连 接 失 败 ，sC 归 属地 ，192.168 .889.1，SC 服 务 雹 


: 192.168.88.1 
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。 打开 “TSMAgent.log” 文 件 ， 从 log 日 志 中 可 看 到 agenf 认 证 、 安 全 策略 以 及 错误 代 
码 ， 有 了 错误 代码 之 后 就 可 以 做 下 一 步 的 操作 。 


NAC 委 尸 闹 采集 信息 问题 定位 


BB2 HUAYEI NAC Agent 帮 助 


呈 ”中 


休 - 

隐 荣 。。 后 退 | 选项 外) 

目录 CC) | 索引 QD 搜索 @) | 

输入 要 查找 的 单词 @) : 2 认证 失败 


02015 


询 出 主题 C)| 显示 @) | 错误 码 
选择 主题 @): ”找到 ; 3 


。 在 日 志文 件 中 找到 最 后 一 次 记录 的 错误 码 为 ED 的 日 志 。 
2 在 日 志 描 述 的 结尾 部 分 找到 认证 失败 的 错误 码 。 


3， 打 开 NAC agent 帮 助 ， 在 搜索 栏 中 输入 认证 错误 码 ， 查 看 认 
证 兴 败 的 可 能 原因 与 解决 办 法 。 


父 主题 NAC Agent 日 志 错 误 码 考 考 


厂 搜索 上 一 次 结果 &) ea 
友 匹配 相似 的 单词 mg) 版 权 所 有 @ 华为 技术 有 限 公司 
厂 仅 搜 索 标题 ) 
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。 在 NAC 客 户 端 界面 左 侧 导 航 树 选择 “系统 帮助 > 系统 帮助 ”， 单 击 “ 打 开 联机 帮助 ”: 
。 在 搜索 栏 中 输入 log 中 给 出 的 错误 码 ,就 可 以 看 到 该 故障 的 原因 及 解决 办 法 


多 目录 


1.Policy Center 故 障 排 除 思 路 
2. 故障 排除 工具 使 用 方法 
3.Policy center 系 统 典 型 故障 处 理 
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案例 一 : SACG 与 Policy Center 服 务 器 联动 不 成 功 


| Policy 
_Center 服 务 侣 iP 地 址 配置 错误 


了 二 配置 问题 je 便 件 SACG 与 Policy 


_Center 服 务 器 对 应 Key 


Err 
机 Center 绒 IP 不 可 达 

问题 S| 三 2 

网络 问题 | 便 件 SACG 与 Policy 


_Center 服 务 器 端口 被 阻 断 忆 








因 网 络 问题 引起 联动 不 成 功 


证 前 域 定位 思路 : 通过 debug 发 现 只 能 请 求 包 ， 
未 有 任何 报 文 响应 ， 可 确认 是 网 络 问 
题 引 起 联动 不 成 功 。 


解决 思路 : 通过 tracert 检 验 双 方 IP 连 通 
性 ， el Center 服 务 器 3288 端 
口 是 否 启用 且 telnet ip 3288 状 态 。 


S 


和合 
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采用 debugging right-manager dll 后 显示 昭平 信息 
0.4642700SACG%XZO1SACG/8/debualdj ,EVENTromCOPSmoduleconnectiol 
92.168.200.11 (policy Center 地 址 ) 


0.4647700SACG95Y901SACG/8Ldebug(ldj:EVENTfromCOPSmoduleconnectto 1 
92.168.200.11 


检查 Policy Center 服 务 器 的 服务 端口 是 否 已 处 于 listening 状 态 : C:i\netstat - 
ano |find “3288” 


通过 ping 和 traqcert 确 认 硬 件 SACG 与 Policy Center 服 务 器 之 间 IP 连 通 性 ; 


通过 telneN 92.168.200.113288 确 认 硬 件 SACG 与 Policy Center 服 务 器 之 间 端 口 连 通 
性 ; 
品 IP 与 端口 未 被 阻 断 ; 
<USG2200>telnet192.168.200.11 445 
15:25:212011/12/07 
TryiNng12?2.168.200.11... 
PressCTRL+Ttoabort 
Connected to 192.168.200.11... 
The connection was closed by the remote Nost! 


0 人 P 或 端口 已 被 阻 断 ， 或 Policy Center 服 务 器 的 服务 端口 3288 未 局 用 。 
<USG2200>telnet192.168.200.11 3288 
15:25:292011/12/07 
TryiNng12?2.168.200.11... 
PressCTRL+Ttoabort 
Can ‘tconnecttotheremotehost! 


ee 


Policy Center 服 务 怖 IP 地 址 配置 错误 


允 竹 改 硬件 SaAcc 阿 页 对 话 框 


es . 定位 思路 : 双方 对 接 接口 不 
-EE - 一 致 ， 致 使 硬件 SACG 处 于 


备用 人 P:; 
SC 服务 器 玉 地 址 列 到 :; 


inactive 状 态 。 


i dp es 乞 发 , 
hal 解决 思路 : 在 Policy Center 


加 增加 全 删除 


Cr Cr 服务 器 上 配置 “ 主 用 IP” 为 
硬件 SACG GE0/0/1 接 口 地 址 。 


[USG2200-rightnm]dis this 

9:43:29 28611/12/87 

提 

UE 

default acl 39899 

server ip 1L192.168 .2099.11 port 3288 Sha 
server ip 192.168 .209.12 port 3288 Sha 
right—manager server—group enable 


[USG228606—rightm]adi 
加 9 :44:47 2011/12/87 
El tratively down 


SC yn 
uawei,. USG2200 
iawei,. USG22009 


GigabitEthernet@/0/0 雪夫 168. @. 
iawei, USG2200 


GigabitEthernet@/0/1 192.168. 298 
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通过 以 上 图 示 可 以 看 出 ， 便 什 ACG 是 遂 和 /1 与 5C 探 制 器 通讯 ， 而 3C 控 制 器 却 与 
的 人 通讯 ， 由 于 双方 进行 交互 的 接口 不 对 应 ， ee GC 一直 
态 (可 执行 displayright-manager server-group 命 令 查 看 ) 

通过 变更 Policy Center 服 务 器 玉 主 用 IP” 为 硬件 SACG GO/0/1 IP 地 址 ， 同 步 硬件 
SACG 后 硬件 SACG 的 状态 变 为 qctive。 








双方 key 不 一 致 


定位 思路 : 硬件 SACG 与 

Policy _ Center 服务 器 之 间 有 

i 数据 包 交互 ， 但 连接 总 被 

Ei closed 掉 。 那 么 基本 定位 为 
me 双方 key 不 一 致 。 


[USG22080-rightm]dis this 
:43: /12/ 。 全 

9 “39114270 。 解决 思路 : 检查 双方 key 配 

right—-—manager server—-group OE i 

default acl 3999 置 ， > 意 空 格 和 大 人 小写 oO 

server ip 1t192 .168 .2098.11 port 3288 shared-key secospace 

server ip 192.168.28606.12 port 3288 shared-—key : spa 

right—-manager server—group enable 


Server nu 

Server ip address 
192 .168 .2806.11 
192 .168 .20998 .12 
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。 通过 以 上 图 示 可 以 看 出 ， 硬 件 SACG 与 PolicyCenter 探 制 器 之 间 通 讯 或 配置 存在 问题 
， 采 用 debugging right-manager ol 后 显示 如 下 信息 (双方 连接 总 是 被 closed， 那 么 
基本 可 确认 是 双方 Key 配置 不 一 致 引起 小 


0.10890800SACG%R%O01SACG/8/debug(d):EVENTfromMCOPSModuleconnectto 
192.168.200.11. 


0.10890900SACGRHRO1ISACG/8/debug(d):EVENTfromMmCOPSModuleconnectto 
192.168.2004 1ek. 


0.108910MSACGRH%RHROISACG/8/debug(d}):PACKETfromMCOPSModulesendapa 
cket,length:24,byconnid:0,Nnowsended24 


0.10891150SACGR%R%OISACG/8/debug(d):PACKETfromMmCOPSModulereceive8 
0.10891233SACG%R%O1ISACG/8/debugl(d):PACKETfromCOPSMmModulereceive8 
0.10891316SACGR%R%OISACG/8/debugl(d):PACKETfromMmCOPSModulereceive0 


0.10891400SACG%%01SACG/8/debug(d):PFACKETfromMCOPSModuleCopsPac 
kefDemarcaie 10 


0.10891500SACG%R%O1ISACG/8/debug(d):PACKETfromMCOPSModulepPacket: 
adqcf555cLen:10Conld:0 


0.10891616SACGR%ROISACG/8/debug(d):EVENTfromMmCOPSModuleconnid:0dl 
Osed 


right-manager 功 能 未 启用 


《USG220909>dehbugging right-manager euent 

11:22:28 2811/12/87? 
Et 

default acl 3999 

server ip 192 .168 .2099.11 port 3288 shared-key secospace 
server ip 192.168.28606.12 port 3288 shared-—key secospace 


《USG2299>dis right-manager server—group 
109:39:91 2811/12/87 

sr state : Enable 
Server number : 2 
Server ip address , State 
192 .168 .2808.11 
192 .168 .20998 .12 


inact ive 


inactive 


定位 思路 : 通过 debug 和 查看 right-manager server-group 命 令 ， 


未 发 生 任何 输出 信息 和 配置 。 


解决 思路 : debugright- managerevent 未 发 生 任 何 debug 信 息 输 
出 ， 可 确认 是 Right-manager 未 局 用 导致 。 
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通过 以 上 图 示 可 以 看 出 ， 是 由 于 right-meanoager 未 局 用 导致 硬件 3ACG 与 Policy 
Center 控 制 器 之 间 连 接 不 能 正常 建立 。 且 通过 debug right-manager event 未 有 任何 
debug 信 息 输 出 ， 可 确 认 是 《94 menager 未 局 用 导致 。 Ce 
Seryer-group enqble 命 令 后 ,， 已 将 变 为 Qcfive 








态 


O 


SACG 与 Pol icy _ Center 服务器 数据 包 交 互 


debuggingright-managerall 关 键 提示 


EVENTfromCOPSmoduleconnectto192.168.20.10ok. 


PACKETfromCOPSmodulesendapacket,length:24,byco 
nnid:0,nowsended24PACKETfromCOPSmodulereceive 
8 


EVENTfromMAINmodulesacgrcvmsg:copstype=RIGHT 
M_COPSMSG_CONNOK 
EVENTfromMAINmodulesacgsndmsg:copstype=COPS_ 
FAI_MSG_REQ_STARTUP 


EVENTfromMAINmoduleSuccess:Serveractive. 
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SACG 可 以 连接 到 
Policy Center 服 务 器 的 
3288 冰 口 

9ACG 与 Policy Center 
服务 器 互 有 收发 


SACG 与 Policy Center C 


服务 器 连接 建立 ， 
从 交互 。 


® 


SACGSPolicy Center 
服务 器 联动 成 功 


WW huAwel 





。 以 上 为 硬件 SACG 与 Policy Center 服 务 器 之 间 正 党 的 数据 包 交 互信 息 。 


各 例 二 : 未 认证 可 访问 认证 后 域 资 产 


| 客户 端 数据 流 未 经 过 硬件 SACG | 

误 配 置 了 特权 IP | 
开启 默认 域 同 包 过 滤 } 

最 小 存活 数 其 配置 错误 ， 激 活 逃 生 通道 | 





并 访问 认证 后 天 会 话 末 才 化 ) 
网 绍 连 通 性 问题 ， 激 活 带 下 通通 








原因 一 : 各 户 站 数据 流 未 经 硬件 SACG 


定位 思路 : 访问 认证 后 域 服务 器 资源 ， 
i 
沉 信 息 ， 发 现 数据 流 没 经 过 防火 墙 。 


解决 思路 : 配置 策略 路 由 把 上 行 流量 
引流 至 硬件 9ACG。 


硬件 SACG 补充 说 明 : 根据 上 下 行 流量 是 否 经 过 
硬件 SACG ， 确 认 是 否 关闭 状 克 检 测 。 
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e 查看 硬件 SACG 会 话 表 命令 : display firewaill=session taqble， 未 发 现 客户 端 访问 认证 
后 域 服务 器 资源 的 会 话 表 信息 ， 或 通过 deBuUgging tcp packet remote-port 80， 再 
访问 Web 服 务 器 发 现 无 任何 debug 信 息 显 示 ， 基 本 可 定位 客户 端 数据 流 未 经 过 硬件 
SACG 所 制 。 


。 策略 路 由 把 上 行 流量 引流 至 硬件 yACC， 且 关闭 硬件 yACC 状 态 检 测 后 问题 解决 


原因 二 : 认证 表 域 配置 错误 


定位 思路 : 访问 认证 后 域 服务 器 资源 ， 
在 硬件 SACG 上 产生 相应 会 话 表 项 ， 再 
查看 认证 前 域 发 现 有 认证 后 域 P 地 址 段 


Policy Center 主 自 


解决 思路 : 删除 非 认 证 前 域 所 属 的 IP 地 
址 段 信息 。 
Utrust 
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se et display righmanqager role-id 0 rule， 发 现 认 证 前 域 
含有 认证 后 域 IP 地 址 段 信 息 ， 至 Policy Center 管 理 器 操作 步骤 如 下 : 


0 在 管理 器 的 导航 栏 单 击 “ 接 六 控 制 ”; 
0 在 左 侧 菜单 栏 选 择 “ 接 六 控制 配置 > 硬件 3ACG” ; 
0 选择 “前 域 ” 页 从 ， 市 际 不 属于 认证 前 域 的 IP 地 址 段 信 息 ; 


0 选择 “硬件 SACG ”页 签 ， 单 击 “ 同 步 硬 件 3ACG” 进 行 认 证 前 域 的 IP 地 址 段 信 
息 同步 这 时 登录 防火 墙 通过 display right-manager role-id 0 rule 命 令 发 现 此 
次 只 有 认证 前 域 IP 地 址 段 信息 。 


原因 三 : 误 配 置 了 特权 IP 


证 前 域 定位 思路 : 访问 认证 后 域 服务 器 资源 ， 
在 硬件 SACG 上 产生 相应 会 话 表 项 ， 查 
看 认证 前 域 未 发 现 配 置 问题 ， 但 域 间 
Policy Center 策略 配置 了 特权 IP 地 址 。 


解决 思路 : 删除 非 必 要 的 特权 IP 地 址 信 
息 。 


Utrust 
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。 查看 硬件 SACG 域 间 包 过 滤 策 略 命令 :display policy interzone trust untrust 
inbound， 发 现 有 非 必 要 的 特权 IP 地 址 信息 ， 至 硬件 SACG undo 非 必要 的 特权 IP 地 址 
信息 


原因 四 : 开局 默认 域 则 包 过 滤 


定位 思路 : 访问 认证 后 域 服务 器 资源 ， 

在 硬件 SACG 上 产生 相应 会 话 表 项 。B 

默认 域 间 包 过 滤 是 允许 数据 通过 。 或 
Policy Center 防火 墙 默 认 域 间 包 过 滤 被 局 用 。 


解决 思路 : 禁用 或 关闭 默认 域 间 包 过 


滤 策略 
Utrust as 


S 
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。 查看 硬件 SACG 默 认 域 间 包 过 滤 策 略 命 令 : diseglay firewall packet-filter defqult all， 
发 现 trust 与 untrust 默 认 安 全 域 间 的 策略 为 Dermit， 禁 用 默认 域 间 包 过 滤 策 略 (firewoal 
packet-filter defqult deny interzone trust untrust direction inbound) ， 或 关闭 默 
认 域 间 包 过 滤 策 略 (Undo firewoallNOacket-filter default inferzone trust untrust 
direction inbound) 。 


原因 五 : 最 小 存活 数量 配置 错误 


定位 思路 : 访问 认证 后 域 服务 器 资源 ， 

在 硬件 SACG 上 产生 相应 会 话 表 项 ， 再 

查看 认证 前 域 发 现 逃 生 通 道 被 打开 。 
Policy Center 

解决 思路 : 更 改 最 小 存活 数量 至 合适 

数量 。 


$ 


Utrust 
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e 查看 硬件 SACG 认 证 前 域 命令 : displqy rigAhFEmanager role-id 0 rule， 发 现 认证 前 域 
中 逃生 通道 被 打开 ， 更 改 最 小 存活 数量 至 合适 数量 。 比 如 有 20000 个 以 下 终端 ， 而 部 署 
了 3 人 台 3C 服 务 器 ， 则 应 该 这 样 配置 最 小 存活 数量 : right-manager server-group 
qctive-minimum 2， 且 月 用 right-manager stgatus-detect enable 使 用 逃生 通道 功能 


生效 。 


原因 六 : 原 访问 认证 后 域 会 话 未 老 二 


证 前 域 “定位 思路 : 硬件 SACG 中 会 话 表 项 匹配 
优先 级 最 高 ， 因 此 所 有 未 老话 的 会 话 
均 会 被 优先 匹 配 。 
Policy Center 
解决 思路 : 等 待 会 话 老话 时 间 ， 或 者 
reset 防 火 墙 会 话 表 项 。 


Utrust 
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e。 执行 硬件 SACG 详 细 的 会 话 表 项 命令 : DisLfifrewall session fable verbose source 
global X.X.X.X， 查 看 当前 会 话 表 项 剩余 的 时 间 。 如 以 下 显示 (默认 会 话 生 存 时 间 为 10 
分 钟 ， 目 前 还 剩余 2 分 27 秒 ) : 


tcpVPN:public-->public 
ZonNne:unNtrust-->trusttTL:00:10:00Left:00:05:27 


INterfgqce:GigaqbitEthernet0/0/1NextHop:192.168.200.11MAC:00-0c-29-d4-47- 
dQ2 


<--pdqCckets:31bytes:9516-->packets:33bytes:17277 
192.168.0.119:1574-->192.168.200.11:8443 


。 或 者 通过 执行 reset 会 话 表 项 (reset firewall session table source globoal 
192.168.0.119 ) 而 立即 生效 。 


原因 七 : 网 络 连 遂 性 问题 


定位 思路 : 访问 认证 后 域 服务 器 资源 ， 
在 硬件 SACG 上 产生 相应 会 话 表 项 ， 硬 
件 SACG 与 SC 服务 器 IP 不 可 达 ， 且 查看 
认证 表 域 发 现 逃 生 通 道 裤 打开 。 


解决 思路 : 在 硬件 SACG 上 排除 包 过 滤 
策略 问题 和 硬件 SACG 与 SC 服务 器 之 回 


”路 由 或 包 过 汪 策 略 问题 。 .C 
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。 查看 硬件 SACG 会 话 表 命令 : display firewgaillsession table， 发 现 客户 端 访问 认证 后 
域 服务 器 资源 的 会 话 表 信 息 ， 但 通过 在 硬件 SACG 上 pingSC 服 务 器 发 现 IP 不 可 达 。 
此 网 络 连 通 性 问题 只 可 能 由 以 下 几 类 属 因 组 成 : 


0 硬件 SACG 上 包 过 滤 策 略 ” 导致 硬件 yACC 与 SC 服务 器 之 间 交 互 报 文 航 硬件 
SACG 过 滤 挥 ; 


0 硬件 SACG 与 5G 服 务 器 之 间 无 可 达 路 由 引起 ， 可 通过 tracert 命 令 过 位 问题 ; 
oO 硬件 SAC 久 与 SC 服务 器 之 间 有 包 过 滤 设 备 把 他 们 之 间 的 交互 的 报 文 过 滤 掉 。 


案例 三 : SACG 不 能 重 定 向 Web 推 送 页 面 


客户 路 输入 非 Http 协 议 访问 后 域 资 源 
] 究 户 剖 设 置 错误 上 H 究 户 端 输 入 非 标 准 端口 Http 协 议 访问 后 域 资源 | 
客户 端 未 设置 正确 的 DNS 服务 器 IP 地 址 


问题 三 ， 硬 件 SACG6 不 能 重 定 问 Web 推 送 页 面 





硬件 SACG 上 未 配置 Web 推 送 页 面 
认证 后 域 资源 路 由 不 可 达 

域 间 包 过 滤 策 略为 允许 } 

DNS 服务 器 未 加 入 认证 前 域 } 


| SACG 配 置 错误 门 
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客户 端 已 在 认证 后 域 或 访问 认证 前 域 资 产 是 丕 支 持 Web 推 送 页 面 功 能 。 


原因 一 : 输入 非 HTTP 协 议 访 问 后 域 资 源 


地 址 加 ) | 图) ftp: /mr haswei con/ 
ETP 文件 夹 错误 
1 ) "idows 无 法 沪 问 此 文件 天 。 请 确保 输入 的 文件 名 是 正确 的 ， 并 且 你 有 权 访问 此 文件 天 。 


详细 信息 : 
无 法 解析 服务 器 的 名 称 或 地 址 


定位 思路 : 通过 左 图 了 解 ，Web 推 送 页 面 功 能 只 能 支持 用 户 浏 览 器 访 ， 
问 Http 资 源 。 
解决 思路 : 在 IE 浏 览 器 输入 http 协 议 网 站 。 
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。 通过 以 上 图 示 可 以 看 出 ，Web 推 送 页 面 功能 内 能 文 持 客 己 用户 使 用 浏览 器 访问 Http 协 
议 资 源 ， 配 置 命 令 如 : right-manager aquthentication wrl http://192.168.200.11 
:8443/webaqauth 





原因 二 : 非 标准 病 口 协 以 访问 后 二 资 源 


ES | about :blank ~ 看 icroso ft Internet Explorer 
IEZ 
GD SOI SL .BX 





地 址 @) | 。 http:771.1.1.1:100 








3 习 找 不 到 服务 器 - 了 icroso ft Internet Explorer 


-日 时 加 名 有 并 次 虹 





地 址 中 ) | 篇 http://4.4.4.4:100/ 











定位 思路 : 非 标准 HTTP 协 议 端口 硬件 
SACG 无 法 识别 为 HTTP 协 议 ， 需 通过 端 
口 映 射 技 术 解 决 。 


解决 思路 : 使 用 端口 映射 命令 Port- 
mapping 实 现 非 标准 端口 与 HTTP 协 议 之 
间 的 关联 。 


WW HuAwel 


。 非 标准 HTIP 协 议 端口 硬件 3ACC 无 法 识别 为 HTTP 协 议 ， 通 过 配置 端口 映射 命令 Por- 
mapping http port 100 acl 2000; 再 通过 定义 ACL2000 的 源 IP 地 址 包 过 滤 策 略 ， 就 
可 以 实现 非 标准 端口 与 HTTP 协 议 之 间 的 关联 。 


DNS 服 务 兹 配置 上 是 


定位 思路 : 通过 ping 目 标 域名 或 DNS 服 
务 器 发 现 无 法 解析 或 IP 不 可 达 ，; 
认证 后 域 
DNSServer 
解决 思路 : 放置 DNS 服 务 器 至 认证 前 域 
Policy Center 或 检查 客户 端 DNS 服 务 器 iP 地址 配置 的 
Trust 正确 性 ; 


Utrust 和 和 
硬件 SACG 纪 找 不 到 服务 器 - 了 icrosoft Interp’,i V<plorer 


mm © 四 风光 


) 乱 ] http: /rm oi SR 
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。 通过 在 IE 浏 览 器 输入 目标 域名 ， 褒 页 面 立 即 提示 “ 找 不 到 服务 器 ”， 那 么 基本 可 确定 是 
客户 问 DNS 服 务 器 IP 地 址 未 配置 。 大 页 面 经 过 一 段 时 间 后 才 提 示 “ 找 不 到 服务 器 ”， 那 
么 基本 可 确定 是 DNS 服 务 器 iP 不 可 达 或 客 尸 端 DNS 服 务 器 iP 地 址 配置 错误 所 致 ， 更 有 其 
者 是 DNS 服 务 器 未 含 本 域名 记录 或 本 DNS 服 务 器 与 上 级 DNS 服 务 器 之 间 互 通 性 存在 问题 


O 


0 针对 页 面 立 即 提示 \“ 找 不 到 服务 器 ”的 情况 ， 需 在 客户 问 上 配置 DNS 服 务 器 IP 地 
址 ， 且 确保 配置 正确 。 


0 针对 页 面 经 过 一 段 时 间 后 才 提 示 “ 找 不 到 服务 器 ”的 情况 ， 需 确认 DNS 服 务 器 是 
否 放 置 在 认证 前 域 和 检查 客户 端的 DNS 服 务 器 iP 地 址 配置 是 否 正确 。 


原因 四 : SACG 上 未 配 Web 推 送 页 面 


定位 思路 : 访问 目标 网 站 长 时 间 未 能 
返回 Web 推 送 页 面 ， 但 TCP 协 议 3 次 握 

证 后 域 手 已 成 功 建立 ， 且 硬件 SACG 未 此 会 话 

ee DNSServer 表 项 。 说 明 硬 件 SACG 的 Web 页 面 推送 
功能 已 生效 ， 但 未 正确 配置 Web 推 送 


通过 配置 right-manager authticatiormf uf 
硬件 SACG Utrust 启用 推送 Web 页 面 ; C 


s&s NAC 一 > 钨 | 正在 打开 网 页 ht SLC 





Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. Page 53 HUAWEI 





。 访问 目标 网 站 寿 长 时 间 未 能 返回 Web 推 这 页 面 时 ， 可 通过 c:\naqtstat - gqno 查 看 TCP 协 
议 建立 状态 。 辱 发 现 客 尸 端 与 目标 网 站 WCP 状 态 为 ESTABLISHED， 且 通过 在 硬件 SACG 
是 执行 display firewall session tatble 发 现 客 户 端 与 目标 网 站 无 任何 相应 的 会 话 表 项 ， 
说 明 硬 件 SACG 的 Web 页 面 推 庆功 能 已 生效 ， 但 未 正确 配置 Web 推 过 页 面 。 

。 进入 right-manqger seryergroup 视 图 ， 通 过 displaythis 发 现 未 配置 rght-manqger 
quthtication url 局 用 推 送 Wepb 页 面 ， 通 过 配置 righf-manager qvuthtication url 
http://192.168:200NM1/webquth 将 可 以 正常 启用 Web 推 送 功 能 。 


原因 五 : 认证 后 二 人 筑 产 路 由 不 可 这 


定位 思路 : 访问 目标 网 站 1 分 钟 左右 页 
面 返 回 找 不 到 服务 器 ， 且 客户 端 与 目 
标 网 站 TCP 协 议 状 态 为 SYN_SENT， 那 
么 可 确定 路 由 不 可 达 导 致 Web 页 面 推 
送 机 制 未 局 动 。; 


解决 思路 : 检查 目标 网 站 IP 地 址 是 否 
在 硬件 SACG 有 路 由 表 信息 ， 并 增加 相 


应 路 由 表 实 现 路 由 的 可 达 ; 
不 可 达 


习 找 不 到 服务 器 - 下 icrosoft Interp- xplorer 


ts NAC 一 > a-©- 四 @ 分 = 克昭 


地 址 0) | 件 http: /11.1. 1 
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。 访问 目标 网 站 1 分 钟 左 右 页 面 返回 找 不 到 服务 器 ， 可 通过 c:Nnaftsfaf - ano 查 看 TCP 协 
议 建 立 状 态 ， 若 客户 端 与 目标 网 站 TGP 协 议 状态 为 SYN_SENT， 那 么 可 确定 路 由 不 可 达 
导致 Web 页 面 推送 机 制 未 正常 启动 x 


。 用 户 通 过 http 方 式 访问 web 资源 ;SACG 需 要 查找 路 由 来 在 相应 的 域 间 触发 web 推 送 
。 通 过 在 硬件 SACG 上 执行 display ip routing 查 看 目标 网 站 的 IP 地 址 是 否 可 与 当前 的 路 
由 表 信 息 表 项 匹配 ,会 发 现 未 找到 任何 匹配 项 后 通过 增加 相应 路 由 表 项 后 将 可 正常 启用 
Web 推 壕 功能 。 


原因 六 : 域 旧 包 过 滤 策 略为 允许 


定位 思路 : 访问 目标 网 站 返回 实现 目标 
网 站 页 面 ， 而 不 是 Web 推 送 页 面 ， 那 么 
可 确定 是 域 间 包 过 滤 策 略为 允许 ; 


Policy Center 解决 思路 : 检查 域 间 包 过 滤 策 略 (包括 
默认 域 间 包 过 滤 策 略 ) ， 并 使 其 策略 为 


硬件 SACG 





。 访问 目标 网 站 返回 实现 目标 网 站 页 面 ， 而 不 是 Web 推 过 页 面 。 通 过 在 硬件 3ACG 上 执 
行 display ip routing 查 看 目标 网 站 的 信 地址 是 否 可 与 当前 的 路 由 表 信息 表 项 匹配 ， 会 发 
现 未 找到 任何 匹配 项 后 通过 增加 相应 路 由 表 项 后 将 可 正常 局 用 Web 推 送 功能 。 


加 本 章 总 结 


了 解 弟 见 的 故障 排除 思路 

常 握 故 障 排除 工作 及 使 用 方法 
了 解 文档 安全 系统 组 成 

文档 安全 组 网 方案 





Copyright © 2013Huawei Technologies Co., Ltd. All rights reserved. 7 HUAWEI 


终端 主机 通过 身份 认证 但 没有 通过 安全 认证 ， 但 可 以 访问 认证 
后 域 ， 分 析 可 能 原因 有 哪些 ? 

示 出 委员 工 出 委 在 外 (不 能 接 入 公司 内 网 ) 要 打开 示 工 作文 档 
， 但 无 法 打开 可 能 是 哪些 原因 造成 ? 

采用 硬件 SACG 接 入 控制 方式 组 网 部 署 ， 终 新 不 能 访问 前 域 资 
源 ， 简 述 故 障 分 析 思 路 及 可 能 原因 有 哪些 ? 
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@ 练习 题 


多 选 题 
1， 在 Policy Center 安 装 过 程 中 提示 “连接 数据 库 失 败 ”， 导 致 无 法 安装 。 
登陆 数据 库 服务 器 ， 发 现 SqlServer 正 常 。 可 能 的 原因 有 ? 
A、 没 有 开启 远程 连接 
B、MSSQLSERVER 协 议 未 局 用 或 端口 设置 有 误 
C、 数 据 库 密码 设置 销 误 
D、 未 安装 lS 组件 
单 选 题 
1. 配 置 以 下 哪 条 命令 后 ， 在 3?C 和 SACG 联 动 失败 时 将 开局 逃生 通道 ? 
A、right-managerstatus-detectenable B、default acl 3099 
C、right-managerserver-groupenable D、 server ip 1.1.1.1 
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。 习题 与 答案 : 
1、 在 Policy Centier 在 安装 过 程 中 提示 “连接 数据 库 失 败 ”， 导 致 无 法 安 儿 。 登 陆 数 
据 库 服 务 器 ， 发 现 SqlServer 正 常 。 可 能 的 原因 有 ? 
A、 没 有 开局 远程 连接 
B、MSSQLSERVER 协 议 未 局 用 或 端口 设置 有 误 
C、 数 据 库 密码 设置 错误 
D、 未 安装 IS 组 件 
案 : AB 
配置 以 下 哪 条 命令 后 ， 在 SC 和 SACG 联 动 失败 时 将 开启 逃生 通道 ? 


A、right-manaqgerstatus-detectenable 


只 


B®, 
/ 


B、 defaultacl3099 
C、 right-Managerserver-groupenable 
D、 serverip1.1.1.1 


案 : A 


喉 


Thank you 


Www.huawel.com 





SIT 4 
华为 职业 认证 通过 者 权 蔡 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hf1W;/Aeq9rning.huawei.com/cn) 享有 如 下 特权 : 
。 1、 华为 E-learning 课程 学 习 
0 ” 内容: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式: 辟 四 性 后 ， 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emoail” 和 到 Leg9/ming@huawei.com 所 
态 权 碟 。 
。 2、 华为 培训 教材 下 载 
0 ”内 容 : 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 小 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: 登录 估 为 在 绪 字 当 厂 芒 ， 进 入 “华为 好 WU 季 立 伞 训 ， 在 具体 课程 页 面 即 可 下 载 教 材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参与 
0 ” 内容: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
0 方式: 开 班 计 划 及 参与 方式 请 详 见 AKC 汞 和 区 
。 4、 学习 工 具 eNSP 
o EeNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ; 同时 也 文 持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 另外, 华为 建立 了 知识 分 孚 平台 华为 从 证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 对 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html) 
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